レビューで最も重要なのは「やりたいこと」の把握
設計書レビューという仕事は、意外と難しい。 なぜなら、レビュアーに渡されるのは基本的に「設計書だけ」だからだ。 しかし本来、設計書というのは突然生まれるものではない。その手前には、 といった背景や目的が存在している。 そ…
-
-
セキュリティレビューの目的は「ミス探し」ではない
セキュリティレビューという仕事に対して、「ミスを探して指摘する仕事」というイメージを持たれることがあります。 もちろん結果として問題点を指摘することはありますが、本来の目的はそこではありません。レビューの目的は、企業とし…
-
設計書レビューで最初に押さえるべき3つの視点
はじめに 前回の記事では、セキュリティレビューという仕事の全体像と、設計書を読むときの視点について紹介しました。 まだ読んでいない方は、先にこちらをご覧ください。▶ 設計書レビューで見るセキュリティの視点 今回は、実際の…
-
設計書レビューで一番怖いのは「見てるつもり」
通信要件のレビューにおいて、「通信元・通信先・ポートが必要最低限になっているか」を確認するのは基本的な観点です。通信要件のレビューをする際、この観点がテンプレートのようになっています。 ただ、この観点――どんな変更にもそ…
-
設計書レビューで見るセキュリティの視点
前回の記事で「キラキラした専門職」という言葉を使いましたが、世間一般がイメージするセキュリティ対策は、WAFやIDSなどの防御系ツールやウィルス対策ソフトだと思います。確かにこれらは重要ですが、「それだけで十分か?」と問…
-
セキュリティレビューという仕事のリアル
セキュリティレビューとは 私はセキュリティレビューの仕事をしています。 セキュリティというと、最新技術を駆使して攻撃を防ぐ、いわゆる“キラキラした専門職”をイメージする人もいるかもしれません。しかし私の仕事は少し違います…