サイバーセキュリティ業界は過去20年間、攻撃を迅速に検知、速やかにパッチを提供することに重きを置いて発展してきた。しかしDellの製品・アプリケーションセキュリティ担当バイスプレジデントを務めるエリック・ベイズ（Eric Baize）氏は、業界は問題の根源、すなわちソフトウェア自体に関心を移すべきだと考えている。

「問題の根本原因は私たちが作るソフトウェアにあります。少しそちらに目を向けてみませんか」と氏は言う。「私たちはソフトウェアの脆弱性を無くしたいと思っていますが、今よりもうまくライフサイクルの早い段階で脆弱性を発見するにはどうしたらよいでしょうか」

サイバーセキュリティは複合的な問題であり、リスクを孕む可能性のある全ての側面について検討するならば、ソフトウェアが重要な検討対象の1つとなるのは明らかだという。「ゼロデイ脆弱性が発生する裏にはソフトウェアを作成した開発チームがいるはずです」

「開発チームがソフトウェアを作成する時点でバグを見つけていれば、後になってゼロデイに気を揉む必要もなかったでしょう」と氏。そこで必要になってくるのがSDL（Secure Development Lifecycle：セキュア開発ライフサイクル）だ。

SDL

SDLという思想は、開発者がソフトウェアの中で見つかったバグに対して責任を負うのと同じように、脆弱性に対しても責任を負うという考え方を定着させることだという。

この原則を念頭に置き、ソフトウェアの設計、開発、テスト、リリースの各段階で慎重な検討がなされなくてはならない、と氏は言う。

「なお、これは開発者の育成に帰結することになります。知識があることが重要です」と氏。必要な訓練の1つは、攻撃者のような考え方ができるように教えることだという。

Dellのチームは武道の段位になぞらえた「Security Championプログラム」という制度を使ってこれに取り組んでいる。黄帯のような基本レベルのトレーニングがあり、これは開発チームの全メンバーに受講が義務付けられているという。また、ハイレベルのトレーニングに進んだ「セキュリティ・チャンピオン」が各チームに1人は所属するように計らっている。

教育から始まる

ソフトウェアの学位取得にはセキュリティに関するトレーニングの受講が必須になるだろう、と氏は言う。

「もしあなたが建設技師で、橋を架けたり高層ビルを建てたりするとしたら、建設技師であれば全員が火災安全に関する訓練を受けているという状態にしておきたいと思うでしょう」。「ところが私たちは、ソフトウェアになるとそのようにしていないのです」

大学などの機関にエンジニア育成の責任を負わせることが次の「戦線」になるだろう、と氏は予想している。それが無理ならばトレーニングを提供するのは企業の責任だということになる。Dellには開発者を育成するリソースがあるが、氏の言う「セキュリティの貧困ライン」を下回るスタートアップ企業はそうではない。

「予算がなくてソフトウェアエンジニアの教育をしていないとします」と氏。「そうなればセキュリティ脆弱性を多く作ることになり、その先何年もついて回る問題が増えることになるのです」

ソフトウェアセキュリティ＝プロセス

ベイズ氏はどのような規模の企業に対しても推奨できるベストプラクティスの1つとして、SBOM（ソフトウェア部品表）の管理を挙げている。オープンソースのような、さまざまな場所から取得したコンポーネントで構成されているコードの管理に役立つものだ。

「常識ですし、成熟したベンダーには必ずあります。確立されたベストプラクティスです」と氏。一方で、SDLについては30から40のベストプラクティスがあり、プロセス全体をカバーできているものはないと付け加えた。

セキュリティ問題を解決する銀の弾丸がない以上、考え方を広めることが肝要だと氏は言う。業界企業同士やOpenSSF（Open Source Security Foundation）のような団体との間で議論を続けることも重要だ。

「安全なソフトウェア開発プロセスという概念は、議論すればするほど社会の安全性を向上させることができるでしょう」。氏は言う。「健康でいることと似ています。多くのことが必要になりますし、脆弱性があるからといってベンダーを非難することもできません。健康であろうとしてできる限りの正しいことをしていても、インフルエンザにかかる可能性もあるからです」

https://www.sdxcentral.com/articles/interview/dell-vp-software-is-central-to-solving-cybersecurity/2022/06/