間違い2「セキュリティばかり重視」利用者重視の設計でセキュリティ要件が抜けがちになる一方で、セキュリティばかりに目を向けて利用者の利便性をないがしろにしてしまうケースもよくある。特にセキュリティ強化が主目的のプロジェクトで、セキュリティ設計が独立して実施されたときに起こりやすい間違いである。 運用を見落とさない こんなときにセキュリティ設計を担当する専門エンジニアの意見をうのみにしてはいけない。利便性にも十分に配慮する必要がある。 実際にECサイトの脆弱性を修正するというプロジェクトで、利便性の確保を図ったのがゴルフダイジェスト・オンライン(GDO)の渡邉氏だ。渡邉氏は不正アクセス事件を機に、基本設計フェーズからセキュリティベンダーのレビューを受けるようにした。しかしセキュリティベンダーが提案してくる“安全性が最も高い方式”をそのまま採用はしないようにしている。 脆弱性を修正するプロジェクトで焦点になったのは、CSRF(C
