1 セキュリティの概要

• 2017年のOWASP上位10のセキュリティ脆弱性
  
• セキュリティ意識と教育
  
• 自社構築に関連するリスク
  
• セキュリティのその他の側面
  

2017年のOWASP上位10のセキュリティ脆弱性

Open Web Application Security Project(OWASP)は、その年に特定された10の最も重要なセキュリティ脆弱性をリストしたドキュメントを公開しています。この10個のセキュリティ脆弱性に対処しても、完全なセキュリティは得られませんが、現在の主要なセキュリティ脅威に対する意識を高めることはよいスタートです。

このドキュメントでは、Oracle Clinical One Platform APIがセキュリティの脆弱性に対処し、関連するリスクに対処するために使用または使用される可能性があるOracle Clinical One Platform API内のコントロールを識別し、API開発者が2017年にOWASPが文書化したセキュリティの脆弱性とリスクに対処する方法を説明します。

場合によっては、統制が製品にコーディングされ、統制の整合性を検証するために、API開発者による統制の適切な使用が必要になります。Oracle Clinical One Platform APIを使用する開発者は、このドキュメントをOracle Cloud SaaS Security Practices(My Oracle SupportのDoc ID 1541346.2のOracle Cloud Operations Centerで登録されたユーザーが使用できるダウンロード・リンク)とともに使用して、Oracle Clinical One Platformと統合する際にAPIインタフェースのリスク状態を維持するために必要なセキュリティ制御を識別します。

セキュリティ意識と教育

お金で買える最高のアプリケーションセキュリティは教育です。開発者およびプロジェクト・リードは、潜在的なセキュリティの問題に注意し、セキュアなコーディング・プラクティスを理解している必要があります。トレーニングには、潜在的なリスクの詳細な説明と、エクスプロイトの軽減に役立つ開発およびデプロイメント・プラットフォームの機能が含まれている必要があります。

アプリケーション・セキュリティの最も重要な設計原則は、設計とデフォルトによってセキュリティを実装することです。セキュアなコーディング・ガイドラインは、使用しているツールやプラットフォームに関係なく、すべての開発組織で使用可能、遵守および実施する必要があります。

デフォルトのセキュリティーのよい例は、停電時にエレベータがどのように動作するかについて、すべての人が想定することです。ブレーキを降ろす代わりに、エレベータはキャビン内の乗客の安全のためにブレーキをかけることを期待しています。しかし、エレベータは、これがデフォルトの動作として定義されていない場合にブレーキを適用する必要があることをどのように認識しますか。そのため、外部攻撃を防ぐ方法を検討する前に、アプリケーションを内部から保護するためのセキュアなデフォルトを特定することが理にかなっています。ただし、トレーニングや意識がないとうまく機能しません。

自己構築に関連するリスク

開発者は、プラットフォームで提供されるセキュリティ・ツールセット内、またはフレームワークに組み込まれているセキュリティ・ツールセット内で、アプリケーションに必要なセキュリティを常に検出するわけではありません。その結果、開発プロジェクトではセキュリティの構築は珍しくありません。これは、アプリケーションが特定の非標準セキュリティーインフラストラクチャーを使用する既存のシステムを置き換える場合に特に当てはまります。この例として、データベース表ベースの認証および認可が、ユーザー・プロビジョニングおよび実行時に付与されるリソースと組み合せて使用されます。

セキュリティ・レイヤーの品質保証、アプリケーション・セキュリティ伝播およびシングル・サインオンに関しても、独自のセキュリティを構築することに関連するリスクは、セキュリティ・レイヤーのバグ修正および保守に責任があることです。

すべての開発者がセキュリティの専門家であるとはかぎりませんが、専門家がカスタムのセキュリティ層を構築するために必要とするものです。

既存の十分に活用されたセキュリティ・ソリューションの調査に費やす時間は、おそらくかなり時間がかかります。既存のソリューションは、エラーが発生しやすい自己記述型のメカニズムを作成するよりも、より簡単かつコスト効率のよいカスタム・アプリケーションに適用できます。

セキュリティのその他の側面

アプリケーション自体がセキュアでない環境で実行されている場合、アプリケーション・セキュリティは役に立ちません。境界セキュリティは、サーバー、ネットワークおよびAPIドメインの外部にあるその他のデータ・アクセス・チャネルに追加される保護のレベルを表します。このドキュメントで説明されているように、2017年に文書化されたOWASP上位10のセキュリティ脆弱性のすべてが、特定の実装のアプリケーション開発者に関連しているわけではありません。