Linux Foundationの「セキュアソフトウェア開発」を受講しました(1)
Linux Foundation「セキュア ソフトウェア開発」無料オンラインコースを開始 12月5日にアナウンスされた上記ニュース。セキュリティに対する行動とアウトプットをこのブログを通じて自身に課したいと考えていた自分にとっては、CISSPの勉強も終わり、新しい朝活にちょうど良いと思いトライしてみることに。
内容はいくつかの章に分かれ、章ごとに教科書とクイズで構成されています。教科書部分にはノート機能があり、メモを記すことができるので、自己学習に便利です。 内容はCISSPの学習で学んだ知識と多くの部分で重複します。CISSPを取得したい人にとっては役立つと思います。最初の日本語が怪しかったので「ん」と思ったのですが、全体的に翻訳に問題はありません。
「第1部:要件、設計、再利用」
CIAトライアドから始まり、セキュリティと相互に関連するプライバシー(会社の総務が担当しているプライバシー関連のタスクを自分が巻き取ろうとしているのもこれが理由です)に関連する法案、リスクマネジメント、開発者向けのセキュア設計(とはいえセキュリティ担当者も知っておくべき)、OSSの利用
現代のビジネスは”個人データ”を如何に分析し個人向けに利益あるサービスを提供するかを重視しており、これはプライバシーとは相反する考えです。企業はなるべく多種多様なテレメトリーを収集したい一方、Linux Foundationは最もシンプルかつ最良なプライバシー対策は「何も収集しない」と書いています。
テキストはLinux Foundationらしく、ギークで挑戦的な文章が掲載されています。
(なぜプライバシーが重要なのか) 「他人に知られたくないことをやっているなら、そもそもやるべきではないかもしれない」と言う人は、極端な自己卑下をしています。彼らが本当に言いたいのは、「私は、自分がやっていることを政府に知られても平気なほど、無害で脅威のない、面白みのない人間になることに同意した」ということです。 [このような主張をする]同じ人々の多くは、実際にはこのような行動を取りません。例えば、彼らは自分たちのためにプライバシーを得るために多くの手段を講じるでしょう。
以下の文言から、何がリスクなのか皆さんは分かりますか?僕はリスクに気が付くのに少し時間がかかってしまいました。
「Uncle Milton社は、1956年から子供たちにアリの巣を販売しています。何年か前に、友人と一緒に開封したことがあります。箱の中には、実際のアリは入っていませんでした。代わりにカードが入っていて、そこに自分の住所を記入すると、蟻が郵送されてくるというものでした。友人は、アリが郵送されてくることに驚きを隠せませんでした。[Bruce Schneier]が言うには、『本当に面白いのは、この人たちは、あなたが言えば誰にでも生きた蟻の入った筒を送るということです。』…セキュリティには特別な考え方が必要です。セキュリティの専門家、少なくとも優れた専門家は、世界を違った角度から見ています。彼らは、万引きの手口に注目せずに店の中に入ることはできません。セキュリティの脆弱性を気にせずにコンピューターを使うことはできません。2回投票する方法を考えずに投票することはできません。」
性悪説で考えてみましょう。そもそもインターネット上の暗号化、本人認証、その他もろもろの技術・プロトコルはすべて悪い人間がいることを前提に作られています。悪人がいなければインターネットはそれを構成する技術もプロトコルももっと軽量化していたでしょうね。システム開発も同じで、<input>タグのテキストボックスも、HTML側で文字列長を制限しても、ローカル側でHTMLを書き換えてPOST出来てしまうので、サーバ側でバリデーションをおこなう必要があります。
コンテンツセキュリティポリシー (CSP)とは CSPという便利な機能があることもこの学習で知りました。再利用可能なソフトウェアのダウンロードとインストールの留意点も「ここまで気を使うのか、でも言われてみれば確かに…」という内容。