ニュース
» 2009年08月27日 14時07分 UPDATE

業務データをそのまま流用:アプリ開発プロセスのデータセキュリティはお粗末

アプリ開発のサンプルデータとして実業務データを暗号化もせずに使用している開発者が8割に上ることが米Ponemonの調査で明らかになった。

[Brian Prince,eWEEK]
eWEEK

 外部からハッカーが侵入しなくても顧客データが流出することがある。アプリケーション開発プロセスでそれが起きることも多い。

 米Ponemon Instituteの最近の調査によると、開発中にそういったことが起きるのは、多くの企業が適切な安全策を講じることなしに、開発・テストプロセスに実業務データを使用しているのが原因だ。専門家によると、その背景には、企業が社内的脅威の可能性を過小評価していることや、手近なデータを安易に利用する姿勢があるという。

 米Forrester Researchのアナリスト、マイク・グアリティエーリ氏は「企業が実際の顧客データを利用するのは、開発者にとってはテストに使える業務用データベースのコピーを作成する方が手っ取り早いからだ。個人情報を暗号化したり、テスト用に架空のデータベースを作成したりするのは、大きな労力が伴うのだ」と指摘する。

 Ponemonの調査結果(PDF)も、同氏の指摘を裏付けている。この調査は米国と英国のアプリケーション開発者とテスターを対象に実施されたもの。調査では、701人の米国回答者のうち71%が「開発・テストプロセスで、データ保護に十分な対策を講じていない」あるいは「講じているかどうか不明」と答えた。これは深刻な問題だ。というのも80%が実際のデータを利用しているからだ。

 米Gartnerのアナリスト、ジョセフ・ファイマン氏によると、企業では、社外のハッカーによる情報漏えいと比べると、内部の人間による情報漏えいの可能性は少ないと考えているため、十分な注意を払わないのだという。

 「内部の人間、つまり従業員が企業に攻撃を仕掛けたとしても、それは極秘扱いになる。企業が自社のイメージダウンを恐れるからだ。そのために、内部の人間による攻撃に関する認識不足が存在するのだ」とファイマン氏は語る。

 アナリストらによると、開発者が実際のデータを開発作業で利用するのには、それなりの理由があるという。要するに、複雑な作業をせずに済み、時間を節約できるからだ。

 「システムの複雑さと相互依存関係が増大するのに伴い、開発チームにとっては現実的で典型的なデータを作成するのがますます困難になる」とForresterのアナリスト、デビッド・ウェスト氏は指摘する。「より少ない開発スタッフでより多くの機能を提供する必要性に伴い、この困難は増すばかりだ。もう1つの要因は、レガシーシステムとそのデータに関する知識の欠如だ。データ構造は時とともに進化し、当初のラベルや定義が、少なくともある条件の下では不適切なものになってしまったのだ」

 「その結果、開発チームは、実際のデータのソース、つまり実業務データのソースだけに目を向けるようになった」と同氏は語る。

 しかし企業はデータマスキングなどの技術を利用すれば、こういったリスクを軽減することができる。アナリストらによると、この5年間でデータマスキングの普及が進んだものの、大多数の企業はこの技術をあまり利用していないという。これは、どのデータをマスキングするか判断するという問題に加え、データ量が膨大であることによる。Ponemonの調査では、米国の回答者の3分の2以上が「テストで使用する前にデータをマスキングしていない」と答えている。

 だがForresterのグアリティエーリ氏は、「企業が開発プロセスでデータの暗号化やマスキングを行わないのは言語道断」と批判する。

 「最近、オンライン旅行代理店が数百人のホテル宿泊客のクレジットカード番号を暗号化しないままにしているのを見たことがある」と同氏は話す。「わたしはその会社のCEOに、この問題にすぐ対処すべきだと告げた。アプリケーション開発部門がデータを暗号化する際に直面する最大の困難は、データの暗号化と復号、および暗号鍵の管理で一貫した方法を用意することだ。最善の方法は、開発者がそれを一切やらなくて済むようにすることだ。データベースあるいはデータアクセスレイヤーでそれを自動化すべきなのだ。例えば、JavaのSpringフレームワークを利用すれば、名前付きフィールドの暗号化を自動化することができる。そうすれば、開発者は面倒なことを覚えなくて済む」

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

関連ホワイトペーパー

情報漏洩 | データベース | 開発プロセス


原文へのリンク

Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -