セキュアプログラミングは、セキュリティエンジニアの仕事内容のうち、セキュリティ対策の実装、ソースコードチェック、再現テストなどで特に重視されます。
セキュアプログラミングとは
セキュアプログラミングは、システムやアプリケーションの脆弱性を事前に廃除し、情報漏洩や乗っ取り、予期しないシステムダウンなどを防ぐためのプログラミング手法です。
例えば、メジャーなサイバー攻撃手法である「SQLインジェクション(アプリケーションを通じてDBを操作する攻撃)」や「バッファオーバーフロー(メモリ異常を起こす攻撃)」では、外部から不正なデータを送信する攻撃を仕掛け、システム・アプリケーションの異常な挙動を誘発します。
このとき、あらかじめシステム・アプリケーション側が対策を講じておけば、被害を最小限に食い止めることが可能です。どのような実装・設計がセキュリティ強度を高めるかはケースバイケースになるため、設計・実装に対する基本概念と個別のテクニックを学んでおくことが重要となります。
セキュアコーディングで開発できる人材の必要性
OSの最新化やWAFの導入などでセキュリティ対策は最低限で問題ないと考えている企業もいるかもしれません。しかし、そもそも開発時点で脆弱性への対処や攻撃を想定したコーディングをしていれば、未然に被害を食い止めることができます。
セキュアコーディングを行うことで開発コードに制限がかかることは考えられますが、あらゆる要件の中でもセキュリティ性能は優先度の高い要素のため、可能な限り適用しておくべきです。しかしながら、情報セキュリティに関する知識を持ち、セキュアコーディングができる人材が不足してるため、セキュアコーディングが適用されていないケースも多々存在しているのが現状です。
セキュアコーディングを組み込んだプログラムでは、セキュリティ被害を抑えることが可能です。積極的にセキュアコーディングを適用した開発を行うことで、再利用できる資産になるコードが溜まっていきます。