間違い3「開発ガイドラインに頼る」「方式設計の時点でセキュリティに関する開発ガイドラインを整備する現場は増えているが、十分に機能しているケースは少ない」とHASHコンサルティングの徳丸浩氏(代表取締役)はいう。SQLインジェクションなどの脆弱性を防ぐコーディングルールをまとめた開発ガイドラインは、脆弱性を作り込まないためにぜひ整備したいものだ。 付きっきりで教える しかし、せっかく用意したガイドラインも「開発メンバーに渡しただけでは決して浸透しない」(野村総合研究所 基盤ソリューション事業本部 DIソリューション事業部 主任システムアナリスト 関倫賢氏)。ガイドラインがあるからと、メンバーにセキュリティ対策を任せてしまうのは間違いだ。 この間違いを防ぐ方法は、大きく分けて二つある。一つは、メンバーへの教育を徹底すること。もう一つは、開発ガイドラインに頼らなくても、脆弱性を作り込まない仕組み作りである。 メンバーのコードを毎
