実は標準の方が簡単で明解 – セキュリティ対策の評価方法

(Last Updated On: 2018年8月8日)なぜセキュリティ対策の区別が異なるのか？長年疑問だったのですが、その理由の一つが判りました。 以下は、本質的には似たような入力確認である「WAFはセキュリティ対策」で「入力バリデーションはセキュリティ対策ではない」のか？と質問した時のツイートです。 @yohgaki どちらもセキュリティ上効果がありますが、WAFはセキュリティを主目的として、というよりセキュリティのためだけに導入するのに対して、バリデーションはセキュリティが *主目的ではなく* 元々実施すべきものだという主張です — 徳丸 浩 (@ockeghem) February 6, 2015 どうも「目的」がセキュリティ対策であるか否か、の基準のようです。「セキュリティ対策の定義」が曖昧という問題もありますが、ここでは省略します。 セキュリティ対策の評価方法 – 標準編 まず

[isrc]

リスクを変化させるモノは全てセキュリティ対策／セキュリティ対策の評価は「コスト」と「結果」で決める／セキュリティ対策には「採用した対策」と「採用しなかった対策」がある／セキュリティ対策は定期的に再評価

[NOV1975]

簡単に評価しづらいけど、個人的には「元々必要だった」のが本当なのであれば、それなしでは動くものが作成不能であるべき、動く以上はそこにセキュリティ対策という目的は常に付与可能、と思ってますな

[sho]

なんでもかんでもセキュリティ対策にしておかないと食っていけないセキュリティゴロとか、勘弁願いたいですね。

[yohgaki]

特にプロジェクトリーダーの皆さんに読んでいただきたいブログです。もちろん、プロジェクトメンバーにもオススメです。