このブログの読者はRFP(request for proposal)という言葉はご存じないかも知れません。企業や組織がソフトウエアの開発や、情報機器の発注をベンダーに依頼する際に、どういう仕様や構成にすればいいのか具体的な提案を求めるのですが、そのベンダーの提案のもとになるユーザー側の求める仕様あるいは要件、それに要望等を記述したドキュメントのことをいいます。
たとえば、こんど開発するソフトウエアの仕様はこれこれこの通りで、このような処理ができるようにしてほしい、また性能としてユーザが検索を開始してから3秒以内に答えが返ってきて欲しい、あるいは、このような性能を持ったハードウエアでできるだけ業界標準品を探してきて提案して欲しい、等々ユーザの要求事項を仕様書の形式でまとめたものになります。
では、このRPFとセキュリティ対策の関係はどういうことになるのでしょうか。たとえばネットワーク機器を導入する場合のRFPには自然とセキュリティ対策に関する部分も盛り込まれる例が多いと思います。一般のユーザーも、インターネットからの攻撃やウイルスの脅威についての知識がある程度ありますから、セキュリティ対策の話題も当然取り上げられる可能性が高いと思います。また、ベンダーの方もセキュリティ対策製品を売り込みたいという思惑がありますから、ユーザーが要求しなくとも対策製品の提案がてんこ盛りになって来る例もあります。
しかし、これがWEBアプリケーションの場合はどうでしょうか。WEBアプリケーションとは、何度か話題にしてきましたが、WEBとデータベースを連動させてサービスを提供するプログラムのことです。一番身近な例では、ショッピングのサイトがそれにあたります。
そして、そのショッピングサイトから顧客のクレジットカード番号やその他個人情報が盗まれる事件が相次いだこともこのブログで取り上げてきました。その場合、ユーザー側の態度としては、こんなことが起きるのは青天の霹靂と感じる人たちもいるかもしれませんし、いつかなにか起こるぞと心配しながら、とうとう起こってしまったというユーザーもいるかもしれません。
とても大切なセキュリティ対策が、こんな運試しのような状態になってしまうのは、結局ユーザーがWEBアプリケーションのセキュリティ対策を、それを開発して提供するベンダー任せにしているところに大きな原因があると思います。
もちろん、ユーザーはセキュリティやITそのものに素人というケースが多いことはわかりますが、本来ならこのWEBアプリケーションは、これこれこのような攻撃には耐えられるようにしてくれと明確にユーザー側から要求すべきものなのです。
とはいえ、プログラミングやセキュリティについての知識がユーザー側にないことは仕方がないですから、その場合は外部の専門家の助けを借りてでも必要なセキュリティについての要件をまとめてベンダー側に示すべきなのです。
これまでのサイトから情報漏洩事件では、ほとんどの場合そのあたりのことはすべてベンダーに丸投げでユーザーは全く意識していなかったというケースが多かったと思います。
しかし、ベンダーはユーザーから常務委託を受けてシステムを製作しているわけですから、情報漏洩事件の責任は開発側ばかりでなく、監督責任があるユーザー側にもあるのです。
そうなれば、ユーザーがセキュリティ対策の件にノータッチですべておまかせという姿勢は本来許されないということになります。ユーザーはユーザーの立場でベンダーに対して、セキュリティ対策上の要件をきちんと示さなければならないのです。
企業では、業務上の契約を結ぶ場合その契約内容が妥当かどうか弁護士あるいは法律知識を持った社員に相談することがよくありますが、システム開発や機器調達の場合もその見積段階でセキュリティの専門家に知恵を借りてそのシステムのセキュリティ対策についての要件が妥当かどうか吟味してもらうことが必要です。
ベンダーの言われるまま、全部おまかせということにしていると、いつかそのツケが回ってくるというのが今までの情報漏洩事件からの教訓です。
情報セキュリティの専門家が、弁護士や会計士あるいは税理士のように気軽に相談を受けるような存在になることが理想だと思っています。
← クリックして応援よろしくお願いします!
★★★超好評メルマガ! 「IPネットワーク考」のご紹介とお申し込みはここをクリックしてください★★★
スパイウェア対策無料レポートはこちらから!
こちらのセキュリティ対策情報サイトもお勧めです!~メチャセキュリティ・ドットコム~
たとえば、こんど開発するソフトウエアの仕様はこれこれこの通りで、このような処理ができるようにしてほしい、また性能としてユーザが検索を開始してから3秒以内に答えが返ってきて欲しい、あるいは、このような性能を持ったハードウエアでできるだけ業界標準品を探してきて提案して欲しい、等々ユーザの要求事項を仕様書の形式でまとめたものになります。
では、このRPFとセキュリティ対策の関係はどういうことになるのでしょうか。たとえばネットワーク機器を導入する場合のRFPには自然とセキュリティ対策に関する部分も盛り込まれる例が多いと思います。一般のユーザーも、インターネットからの攻撃やウイルスの脅威についての知識がある程度ありますから、セキュリティ対策の話題も当然取り上げられる可能性が高いと思います。また、ベンダーの方もセキュリティ対策製品を売り込みたいという思惑がありますから、ユーザーが要求しなくとも対策製品の提案がてんこ盛りになって来る例もあります。
しかし、これがWEBアプリケーションの場合はどうでしょうか。WEBアプリケーションとは、何度か話題にしてきましたが、WEBとデータベースを連動させてサービスを提供するプログラムのことです。一番身近な例では、ショッピングのサイトがそれにあたります。
そして、そのショッピングサイトから顧客のクレジットカード番号やその他個人情報が盗まれる事件が相次いだこともこのブログで取り上げてきました。その場合、ユーザー側の態度としては、こんなことが起きるのは青天の霹靂と感じる人たちもいるかもしれませんし、いつかなにか起こるぞと心配しながら、とうとう起こってしまったというユーザーもいるかもしれません。
とても大切なセキュリティ対策が、こんな運試しのような状態になってしまうのは、結局ユーザーがWEBアプリケーションのセキュリティ対策を、それを開発して提供するベンダー任せにしているところに大きな原因があると思います。
もちろん、ユーザーはセキュリティやITそのものに素人というケースが多いことはわかりますが、本来ならこのWEBアプリケーションは、これこれこのような攻撃には耐えられるようにしてくれと明確にユーザー側から要求すべきものなのです。
とはいえ、プログラミングやセキュリティについての知識がユーザー側にないことは仕方がないですから、その場合は外部の専門家の助けを借りてでも必要なセキュリティについての要件をまとめてベンダー側に示すべきなのです。
これまでのサイトから情報漏洩事件では、ほとんどの場合そのあたりのことはすべてベンダーに丸投げでユーザーは全く意識していなかったというケースが多かったと思います。
しかし、ベンダーはユーザーから常務委託を受けてシステムを製作しているわけですから、情報漏洩事件の責任は開発側ばかりでなく、監督責任があるユーザー側にもあるのです。
そうなれば、ユーザーがセキュリティ対策の件にノータッチですべておまかせという姿勢は本来許されないということになります。ユーザーはユーザーの立場でベンダーに対して、セキュリティ対策上の要件をきちんと示さなければならないのです。
企業では、業務上の契約を結ぶ場合その契約内容が妥当かどうか弁護士あるいは法律知識を持った社員に相談することがよくありますが、システム開発や機器調達の場合もその見積段階でセキュリティの専門家に知恵を借りてそのシステムのセキュリティ対策についての要件が妥当かどうか吟味してもらうことが必要です。
ベンダーの言われるまま、全部おまかせということにしていると、いつかそのツケが回ってくるというのが今までの情報漏洩事件からの教訓です。
情報セキュリティの専門家が、弁護士や会計士あるいは税理士のように気軽に相談を受けるような存在になることが理想だと思っています。
← クリックして応援よろしくお願いします!★★★超好評メルマガ! 「IPネットワーク考」のご紹介とお申し込みはここをクリックしてください★★★
スパイウェア対策無料レポートはこちらから!
こちらのセキュリティ対策情報サイトもお勧めです!~メチャセキュリティ・ドットコム~