編集部からのお知らせ
解説:広がるエッジAIの動向
Check! ディープラーニングを振り返る
海外コメンタリー

開発者がオンラインサービスでやりがちなセキュリティ上の3つの失敗

Paco Hope (Special to TechRepublic) 翻訳校正: 村上雅章 野崎裕子

2015-09-11 06:15

 オンラインツールやオンラインサービスを使用すると、ソフトウェア開発期間を大幅に短縮できる。また、その分野に詳しい人たちによって検証された実績あるコードを使用する場合、自らでコードを記述するよりもセキュアなソフトウェアを実現できる。

 とはいえ、開発期間の短縮や開発手法の簡素化にばかりとらわれ、オンラインサービスの使い方を誤ると、業務をリスクにさらしかねない。本記事で解説している3つの過ちは、それにより本来公開してはいけない知的財産が社外に流出したり、開発中のソフトウェアに対する意図せぬ変更を許してしまったりする可能性があるものだ。

#1:機密データをオンラインリポジトリに保存する

 GitHubをはじめとするオンラインのコードリポジトリは、開発中のコードを公開する場合には最適な選択肢となる。また、このようなサービスの企業向け版を購入すれば、よりきめの細かい統制も可能になる。会社のコードをオンラインリポジトリでホストするメリットはさまざまだ。例えば、開発者はプロビジョニング担当部門の作業を待たずに作業を開始できるようになるだけでなく、会社のネットワークに制限されることなく、どこからでもリポジトリにアクセスできるようになり、フォーラムでのサポートやアプリケーション、サンプルコードも見つけやすくなる。

 ただ、オンライン上にソースコードを保存する場合、保存したデータによって大きな懸念がもたらされる。例えば、社内アプリケーションのコードをパブリックリポジトリでホスティングした場合、意図せずインターネット上に企業インフラの詳細を明かしてしまう可能性もある。それが設定ファイルであったとしても、場合によってはインターネットに接続されているテストシステムやユーザー名、パスワード、隠しインターフェースが記述されている可能性もある。この他にも、プロプライエタリなアルゴリズムや、ドキュメント化されていないAPIのほか、テストデータとして使用した製品データなどの知的財産が考えられる。秘密鍵(SSHの秘密鍵や、ウェブサーバが使用するTLSの秘密鍵、モバイルアプリで使用するデジタル署名など)は、簡単に検索でき、オンラインリポジトリ上で実際にしばしば見かける。中小企業は特に、このような方法で無償サービスや廉価版サービスを利用しがちだ。

 このためセキュリティ担当者は、どこにコードがホスティングされているのかや、どのようなセキュリティ設定がリポジトリ上で使用されているのか、社内の誰がそのリポジトリの管理権限を持っているのかを把握しておく必要がある。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]