脆弱性尾責任は誰にあるのか

• 発注者に責任が主流があるというのが一般的な見解。ただし、判例があるわけはないので注意。経済産業省が出しているモデル契約書を参照すると、以下のような要約ができる。

契約の世界では、書面として書いていないものは瑕疵ではない

モデル契約書について

情報サービス・システム取引に係るユーザ・ベンダ間のモデル取引・契約書の策定とその活用に向けた検討を実施しました。

http://www.meti.go.jp/policy/it_policy/softseibi/index.html#05

後で読む

発注者側の視点（RFPをどう書くべきか）

　RFPを書くにあたり、大体次のような方法がある。

1. 提案を募る
   1. これは内容についてあいまいになる可能性があります。
2. 詳細な仕様をで出す
   1. たとえば「安全なWebサイトの作り方(http://www.ipa.go.jp/security/vuln/documents/website_security.pdf)に準拠せよ」など
3. 検査仕様を出す
   1. あいまいな仕様は駄目で、具体的な脆弱性を列挙するのが望ましい。
   2. 実装方式を指定するのもアリだが、ベンダーに対してそれを言うのはコストを上げる原因にもなるので注意（ベンダーは既に確立しているものかも知れないので）
4. 検収方法を指定する。
   1. 専門の会社を指定して、その会社の試験に合格したもののみ検収する

あと、納品物にセキュリティ検査結果を指定することや、検収時に自らもセキュリティ検査を実施するなど。

・・・情報誌さんの洗い出し・・・については、省略。この中で以下のことが気になったのでメモ

1. システムを製造するさいに、個人情報など情報資産を「どう扱うか」について重要。「何（What）をどう（How）するか」ということ。
2. セキュリティ事象には既にベストプラクティスな対策がある。
3. 界中に数あるセキュリティ脅威をすべて実施するのではなく、とあるＡというセキュリティ事象に対して、Ｂという対策を採用するとかしないとかいった視点の方が現実的。（ベストプラクティスのセキュリティ対策から選択し、リスクを許容する）

RFPに対する３つのポイント

　※３つのポイントって言うのは、プロジェクターで見た内容。聞いていたのをメモっていたけど、以下、３つのポイントになっていないので注意！

1. セキュリティ要件とセキュリティバグに分ける
2. 開発標準と教育に分ける

セキュリティ要件

　クライアント証明書、パスワード仕様、アカウントロック、セキュリティログ・・・などの機能であるが、対策を具体的に書く

セキュリティバグ

　SQLインジェクションやクロスサイトスクリプティングなどはどちらかと言うとセキュリティバグであるために、基本設計時点で開発標準など方式設計として盛り込む。但し、開発標準ってのはまだまだ大雑把なんで、注意。「クロスサイトスクリプティングをしない」ではなく、「リクエストに入ってきた文字列は、関数escape(String)を通してから使う」とった具体的なもので、開発言語、アーキテクチャ、ライブラリ、チームの習慣等を考慮し、可能なレベルまで具体的に書くのが望ましい。

開発標準と教育

　「安全なWebサイトの作り方　改訂第三弾」を参照
　「発注者のためのWebシステム／Webアプリケーションセキュリティ要件書」を参照

　開発標準なんて、読まれなければ意味がない。２〜３０ページぐらいで作る

　んー、ココで自分の所感メモ。

　開発標準は、書いていると分かるんだけど、書き始めるとどうしても「まだ足りない、まだ足りない」って気がしていつの間にか１００ページを超えちゃったりするんだよね。これじゃ誰も読まないと分かりつつ・・・でも自虐的に「１５０ページは超えてやるぞ！」とか、馬鹿だなぁ。

　ここで言っていたのって自分がいつもやっていることと一部合致していたので安心した。開発が始まる段階としては、コーディング規約などの書面は必要になる。でも経験上それを読むかって言われると読む人がいなかったり、じゃぁどうやるの？っていう質問が来ることから僕は以下のようにしている。

• コーディング規約、システム方針書、テスト方針書などのドキュメント
• コードケース集という、実際にどう作るか、様々なケースに分けたコードサンプル集
• 開発に入る前の、メンバーへの周知（２時間〜半日）
• 開発環境（Eclipse）などによる機械チェック
• Javaなどのオブジェクト指向言語だったら継承による基盤クラスの提供
• 人の目による目視チェック

　人が入るまえに「なるべく人を介さないチェックの仕組み」を作るのがポイントだと思っている。個人的には規約なんてナンセンスだと思う。Webから引っ張ってきたコーディング規約を提供なんかするんだったら、殆どの人は分かっているよね。また規約ベースのプログラミング（ここはZ関数を必ず呼ぶこととか）は穴が多いと感じてきた。前述のセキュリティバグに対する要件は、なるべく基盤が知らないうちにやってくれるようにするのがいいんじゃない？

　でもどれだけやっても実は穴があったりするし、よく知っている人からは指摘を受けたりするけどね。（だからセキュリティ勉強会なんてのをやんなくちゃいけないんだろうけど）ただ、この辺のことって、自分自身では人に仕事を振る前段階として当たり前のことだと思っているけど、どうなんだろう。この辺までできていれば教育に対するコストなんてあまり無いような気がしていたんだけど。

　ここまで自分の所感

ウエブ健康診断とは

　遠隔地からインターネット経由による診断を行うテスト。 ラステック？という団体で無償で行われている？２００９年は５００団体実施。テスト仕様書が公開されているので、活用しない手はないと思う。

1. １２項目危険度の高い脆弱性を網羅意
2. 無償ツールのみで診断

　ここで 実際にでもでやってもらった。検査項目自体は簡単なテスト項目にみえるけど、デモ（わざとセキュリティが低く作ってあるのだけれど）では怖い結果がズラズラと・・・おおおお！

テスト工程（セキュリティテスト）のコスト削減方法

1. できる部分は自分でやる。専門家に頼むと高いので。
2. セキュリティ事象の全項目を実施する必要はない
3. テストを実施するよりもソースコード検査の方が効率的な場合もあるので、検討されたし