こんな経験をしたことはありませんか?
診断作業をより生産的に実行するには、診断会社だけで達成することは難しく依頼者とのCo-workが欠かせない。しかし、多くのケースは生産的な状況からかけ離れており、改善の余地が相当数ある。
今回は、これまでのセキュリティ診断の経験からセキュリティ診断を企画/計画/実施する方向けに、デザイン・フレームワークを用いて改善する方法をお伝えする。
我々が仕事で利用したり用いたりする場合、それは何か問題を解決するために用いるものである。デザイン・フレームワークも同様に、何か問題を解決するために用いるものである。
では、分かり易くするために、デザインとフレームワークとに分けて説明したい。
デザインとは、目的設定・計画策定・仕様表現からなる一連のプロセスを言う。-wiki-
また、スティーブ・ジョブズは次のように定義している。
It's not just what it looks like and feels like. Design is how it works.
この定義をセキュリティ診断の企画に当てはめると、"セキュリティ診断の目的設定・計画策定・仕様表現からなる一連のプロセス"となる。
次に、フレームワークは、デザインのための働く枠組みと言える。
ソフトウェア開発で、複雑な問題を解決する際に使用する方法としてデザイン・フレームワークの1つであるアナリシス・パターン/デザイン・パターンという概念があるのはご存じだろうか。
このアナリシス・パターン/デザイン・パターンは、Reusable(再利用可能)であること、生産性・品質に優れると言われる。
そこで弊社は、この概念を用いて少しでも生産的で品質に優れる診断方法をデザインすることを試みている。
これまでのセキュリティ診断の企画で感じる問題点を列挙してみる。
実はこれらの問題は、情報のムラと標準化により生じている。
このような活動は、ナレッジワークとも呼ばれ、情報とフローがもっと重要と言われている。
しかし、このことを気にかけている人はまだまだ少数のように思える。
ナレッジワーク:知識労働とは、知識を主な資本とする労働者である。例としては、「考えることを生業とする」ことを仕事とする ICT専門家、医師、薬剤師、建築家、エンジニア、科学者、デザイン思想家、公認会計士、弁護士、編集者、学者などが挙げられる。-wiki-
現状のセキュリティ診断のプロセスをValue Stream Mappingを用いて可視化してみると10個のタスクから構成され、多くのバラつきが発生していることが確認できた。
ほとんどの活動で何かしらのバックフローが少なからず発生していた。
その原因は、"情報"と"フロー"が正しくデザインされていないために発生していることが多く、その解決策として標準化が有効と言われる。
システム開発の分野では、既に実践されているデザイン・フレームワークを用いることで、セキュリティ診断の企画から設計・実施までの情報とフローとプロセスの標準化が可能と考える。
アナリシスパターン/デザインパターンは、ソフトウェア開発では既知の概念である。
パターンとは、Reusable(再利用可能)であること、生産性・品質に優れる。
また、このフレームワークを用いることで、攻撃者の行動を理解することにも役立つ。
ITMでは、デザイン・フレームワークを用いた提案活動を実施しています。
この考え方を弊社単独で利用するのではなく、多くの方と共有し生産的な活動にして行きたいと考えています。
ぜひ興味関心をお持ちになりましたらお知らせください。
セキュリティ診断・脆弱性診断「SiteScanシリーズ」は、Webアプリケーション/システム全体の脆弱性を診断するサービスです。ご使用のネットワーク/サーバー、Webアプリケーションの脆弱性を見つけ出し、悪意のあるサイバー攻撃や情報漏えい事故などを防止します。他社での設計・構築システムも診断することができ、お客さまが抱えている課題に合わせて、「SiteScan 2.0」「WebSiteScan」「WebSiteScan Pro」の3タイプから選択可能です。
当社ペネトレーションテストは、高い倫理性と高いハッキング技術、加えて多くの模擬ハッキング経験を有するセキュリティエンジニアによる手動によるテストです。
ネットワークペネトレーションテスト、Webペネトレーションテスト、PCI DSS向け(ネットワーク、アプリケーション)、組込みシステム向けペネトレーションテストから選択可能です。