IEEE Software: March-April 2020, Security Test

セキュリティテストという活動はあまり日本ではメジャーではない。サーバーサイドの防御等々はまあまあやられているが、ソフトウェア製品に対するセキュリティテストはほとんどされてないのが常であるのではないか。

この前セキュリティ専門家と話していて、

「ポートスキャンやってないよねー」

「パスワード平文で流してんだよ」

「Fuzzingやったら一発でコケました」

というあるあるで同意しました。弊社もビジネスとしてセキュリティテストを行いたいが、いまのところ人材と時間の制約でできないが、そのうち展開したいと思う。それまでの間（無責任な意見だが）、このアーティクル読んでいただきたい。たぶん今日現在でアプローチできるセキュリティツールはすべてのっている。もちろん使えないものもあるが。残念ながらセキュリティテストをする上で現在の問題は、それがまっとうに使えるツールか否かの判断の難しさにある、もちろん判断する人はテストに精通し、プロの開発者でないと厳しい。その難しさを少しだけ助ける論文である。

まずはスレッドアナリシスを行い、脅威に対してレビューを行うだけでもいいであろう、次年度にその脅威分析の穴に対してテストを行う。そんな成長の仕方でも良いと思う。