ハンズオンでご利用いただいた技法
- Secure Goal Indicator Trees
フローチャート形式で、セキュリティ要件をチェックするための記法です。詳細はこちらに使い方と使用例があります。ハンズオンではセキュリティ要件に関するものでしたが、指標の内容を適切に選択することにより、可読性や保守性の向上にも使えます - Guided Checklists
上述SGITをもとに生成した順序つきチェックリストです。チェックリストを構成する各質問の回答結果によって、次に進むべき質問が決まります。前提がクリアできていない場合に、それ以上の詳細が書いてある質問を飛ばすことができるよう構成されており、ムダを省くことができます。 詳細はこちらに使い方と使用例があります。 - Adhoc(セキュリティ観点つき)
ハンズオンの際のセキュリティ観点(シングルアクセスポイント: 認証・認定の一元化、安全なパスワード再発行、安全なユーザ登録)に関する情報があります。 詳細はこちらです。
ハンズオンのコードレビュー観点
- シングルアクセスポイント(SAP)
認証、認定を1箇所で実施しているかどうか?複数箇所で実施している場合には、それらの間で一貫した認証、認定方法が使われているか、という観点です。複数箇所で一貫性のない認証、認定を実施している場合、セキュリティ上の問題がある場合があります。 - 安全なユーザ登録プロセス(SRP)
ユーザ登録の際に、誤った情報(存在しない住所、存在しないクレジットカード番号)が入力されていないかチェックする - 安全なパスワード通知(SPR)
ユーザがパスワードを忘れた際のパスワード再発行において、ユーザが設定したパスワードを安全でない方法(電子メール等)で送付していないか、等の観点からチェックします。
ハンズオンのグループ
- Adhoc(セキュリティ観点つき) 1グループ
上述の3つの観点から自身の経験等をもとにレビューするグループです。申込み時にお知らせいただいた経験年数等が均等になるよう23名を選びました。 - Secure Goal Indicator Treesグループ 4グループ
SGITの技法を用いて、(a)シングルアクセスポイント(SAP)->安全なユーザ登録プロセス(SRP) 15名, (b) SRP->SAP 8名, (c) SAP->SPR 15名, (d) SPR->SAP 8名の4つのグループで実行いただきました。 - Guided Checklists 4グループ
GCの技法を用いて、(a)シングルアクセスポイント(SAP)->安全なユーザ登録プロセス(SRP) 15名, (b) SRP->SAP 8名, (c) SAP->SPR 15名, (d) SPR->SAP 8名の4つのグループで実行いただきました。
ハンズオン結果の統計情報
有効結果数: (調査中)
結果を整理中です。
指摘件数の分布と平均
ハンズオン結果の論文化状況
準備中(結果の整理中)
当日の様子
ハンズオン資料の封筒
上述の9グループを以下のように9色の星型シールで区別しています。多くのタスクの中、星型は作るのも貼るのもかなりたいへんでしたが、この工夫に癒されました。
- SGIT 4グループ(赤: SPR->SAP、ピンク: SAP->SPR、黄: SRP->SAP、緑: SAP->SRP)
- GC 4グループ(水色: 、SPR->SAP、青: SPR->SAP、茶: SRP->SAP、橙: SAP->SRP)
- Adhoc 1グループ(白)