- 脆弱性とは
- 悪用できるバグ
- セキュリティバグ
- バグ == アプリケーションの不具合である、という認識をはっきりもつこと、異常なのだと認識することが大事。
- 運営者のうける被害、利用者の受ける被害
- ボットネットワーク構築に加担してしまう
- セキュリティバグとセキュリティ機能の違い
たとえば、通信路をHTTPSで暗号化していない状態はバグではなく、(狭義の)脆弱性でもありませんが、通信内容を盗聴される可能性があります。HTTPSを利用して通信路を暗号化する例のように、積極的に安全性を強化する機能のことを本書では「セキュリティ機能」と呼ぶことにします。バグをなくすことが当たり前のことであるように、脆弱性をなくすことも当たり前です。一方、セキュリティ機能を要件として盛り込むか否かは、費用との兼ね合いでアプリケーション発注者が決めるべきことです。
-
- アプリケーション開発者の立場では、セキュリティ機能を盛り込む意義や必要性、それがない場合どういうリスクがあるのかを理解した上で、発注者なりプロジェクトマネジメント層に提案する、という姿勢が求められる。
