- 2009年3月19日 20:02
- 資格情報
みなさん「セキュアなプログラミング」って聞いたことありますか?
まず「セキュア」って言葉があまり聞きなれないのではないでしょうか?
(セキュリティのことを言っているのではないのかなぁくらいはなんとなく
想像つきそうですね?)
ということで、まずは「セキュア」という言葉を調べてみました。
すると、「セキュア」とは英語で「secure」と書きまして、
安全なとか確実なとか保証されたというような意味のようです。
「セキュア」という言葉がわかったところで、では「セキュアなプログラミング」とは
どういうことなんでしょうか?
通常プログラミングにおいて「セキュアなプログラミング」と言われて
真っ先に考えることは、やはりWebアプリケーションの脆弱性ですかね。
Webアプリケーションの脆弱性には、例えばクロスサイトスクリプティング(XSS)や
有名なSQLインジェクションをはじめ、様々なものが指摘されており、これらの多くは
OSやブラウザ等のソフトウェアのせいであると言われていたりします。
しかし、よく考えて頂きたいのは、これらの原因をOS等のソフトウェアのせいに
することは簡単ですが、では脆弱性があるからといって全く使わないって訳には
いかないということです。
そうなるといかにそのソフトウェアの脆弱性をカバーするべく、
「セキュアなプログラミング」をしていくかという事が大変重要なこととなります。
昨今におけるある調査では、攻撃のターゲットの最たるものは、
企業が独自に開発したWebアプリケーションだとも言われているようです。
ですから、重要なことはソフトウェアに脆弱性があるのであれば、
それを前提としてプログラミングをすることなのです。
では、「セキュアなプログラミング」ってどのように書けばよいのでしょうか?
これには様々な手法があるとは思いますが、このセキュアなコードを書く
スキルや知識を認定する試験というものがあるそうです。
これがセキュアなプログラミング/コーディングに関する知識やスキルを
証明する「GIAC Secure Software Programmer(GSSP)」という試験です。
(受験料は5万7000円とのこと。高っ!!
)
昨年C言語とJavaのテストが実施されたようで、今後C#やVisual Basicといった
.NET向けのプログラミング言語も追加される予定だそうです。さらに、PHPを
はじめとするほかの言語についても、試験を提供するみたいです。
あっ、ちなみに当スクールでもネットワーク関連のセキュリティ知識を認定する
資格として「セキュリティ(SEA/J基礎)講座」や「セキュリティ(SEA/J 応用)講座」という
講座を開講しておりますので、セキュリティに興味を持たれた方は御一考あれ!!
--------------------------------------------------------------------------------
パソコンスクール KENスクール蒲田校 Programインストラクター
http://www.kenschool.jp/school/kamata/index.html
KENスクールでセキュリティを学びたい方は、Network講座へ!
http://www.kenschool.jp/Network/index.html