Java EE勉強会

BSA / Chapter 16 Chapter Summary

BSA

Chapter. 16 セキュリティ

  • アプリケーションの全体的なセキュリティ計画は、適切なリスク要素を考慮しなければならない。
  • セキュリティには4つの主な種類がある
    • デジタル識別(identity)管理
    • トランザクションセキュリティ
    • ソフトウェアセキュリティ
    • 情報セキュリティ
  • デジタル識別(identity)管理に関連する主なツールやテクニックには以下のようなものが含まれる
    • 認可(Authorization) - 何が行えるかを定義する
    • 認証(Authentication) - 本人識別の証明。認証アプローチは、扱っているシステムがオープンかクローズかどうかによって大きく変わってくる
  • トランザクションセキュリティに関連する主なツールやテクニックには以下のようなものが含まれる
    • 監査性 - 動作の証明
    • 整合性 - データ改ざんや変化を防ぐ
    • 機密性 - 権限のないものからデータを隔離する
    • 説明責任 - 人に行動の責任を負わせる
  • ソフトウェアセキュリティに関連する主なツールやテクニックには以下のようなものが含まれる
    • ソフトウェアを著作権侵害から守ったり、ライセンスのコンプライアンスを執行する(詳細は4、15章参照)
    • ソフトウェアをマシンやハードウェアトークンに結びつける
    • 情報セキュリティに関連する主なツールやテクニックはトランザクションセキュリティと同じものが使われるが、あまり効果的ではない。主なテクニックはデータが置かれている環境が十分にセキュアであるかを確認することである。
  • 独自のセキュリティアルゴリズムを考案してはならない。おそらくクラックされるであろう。しっかりと作った鍵と一般的に利用可能なアルゴリズムを使おう。
  • バックドアを入れてはいけない
  • 優位性としてセキュリティを使おう。究極のブランド要素は信頼であり、セキュリティはそれを得られる。

Menu