サイバーセキュリティ問題、解決の中心はソフトウェア=Dellバイスプレジデント
サイバーセキュリティ業界は過去20年間、攻撃を迅速に検知、速やかにパッチを提供することに重きを置いて発展してきた。しかしDellの製品・アプリケーションセキュリティ担当バイスプレジデントを務めるエリック・ベイズ(Eric Baize)氏は、業界は問題の根源、すなわちソフトウェア自体に関心を移すべきだと考えている。
「問題の根本原因は私たちが作るソフトウェアにあります。少しそちらに目を向けてみませんか」と氏は言う。「私たちはソフトウェアの脆弱性を無くしたいと思っていますが、今よりもうまくライフサイクルの早い段階で脆弱性を発見するにはどうしたらよいでしょうか」
サイバーセキュリティは複合的な問題であり、リスクを孕む可能性のある全ての側面について検討するならば、ソフトウェアが重要な検討対象の1つとなるのは明らかだという。「ゼロデイ脆弱性が発生する裏にはソフトウェアを作成した開発チームがいるはずです」
「開発チームがソフトウェアを作成する時点でバグを見つけていれば、後になってゼロデイに気を揉む必要もなかったでしょう」と氏。そこで必要になってくるのがSDL(Secure Development Lifecycle:セキュア開発ライフサイクル)だ。
SDL
SDLという思想は、開発者がソフトウェアの中で見つかったバグに対して責任を負うのと同じように、脆弱性に対しても責任を負うという考え方を定着させることだという。
この原則を念頭に置き、ソフトウェアの設計、開発、テスト、リリースの各段階で慎重な検討がなされなくてはならない、と氏は言う。
「なお、これは開発者の育成に帰結することになります。知識があることが重要です」と氏。必要な訓練の1つは、攻撃者のような考え方ができるように教えることだという。
Dellのチームは武道の段位になぞらえた「Security Championプログラム」という制度を使ってこれに取り組んでいる。黄帯のような基本レベルのトレーニングがあり、これは開発チームの全メンバーに受講が義務付けられているという。また、ハイレベルのトレーニングに進んだ「セキュリティ・チャンピオン」が各チームに1人は所属するように計らっている。
教育から始まる
ソフトウェアの学位取得にはセキュリティに関するトレーニングの受講が必須になるだろう、と氏は言う。
「もしあなたが建設技師で、橋を架けたり高層ビルを建てたりするとしたら、建設技師であれば全員が火災安全に関する訓練を受けているという状態にしておきたいと思うでしょう」。「ところが私たちは、ソフトウェアになるとそのようにしていないのです」
大学などの機関にエンジニア育成の責任を負わせることが次の「戦線」になるだろう、と氏は予想している。それが無理ならばトレーニングを提供するのは企業の責任だということになる。Dellには開発者を育成するリソースがあるが、氏の言う「セキュリティの貧困ライン」を下回るスタートアップ企業はそうではない。
「予算がなくてソフトウェアエンジニアの教育をしていないとします」と氏。「そうなればセキュリティ脆弱性を多く作ることになり、その先何年もついて回る問題が増えることになるのです」
ソフトウェアセキュリティ=プロセス
ベイズ氏はどのような規模の企業に対しても推奨できるベストプラクティスの1つとして、SBOM(ソフトウェア部品表)の管理を挙げている。オープンソースのような、さまざまな場所から取得したコンポーネントで構成されているコードの管理に役立つものだ。
「常識ですし、成熟したベンダーには必ずあります。確立されたベストプラクティスです」と氏。一方で、SDLについては30から40のベストプラクティスがあり、プロセス全体をカバーできているものはないと付け加えた。
セキュリティ問題を解決する銀の弾丸がない以上、考え方を広めることが肝要だと氏は言う。業界企業同士やOpenSSF(Open Source Security Foundation)のような団体との間で議論を続けることも重要だ。
「安全なソフトウェア開発プロセスという概念は、議論すればするほど社会の安全性を向上させることができるでしょう」。氏は言う。「健康でいることと似ています。多くのことが必要になりますし、脆弱性があるからといってベンダーを非難することもできません。健康であろうとしてできる限りの正しいことをしていても、インフルエンザにかかる可能性もあるからです」
Julia King is an Editorial Assistant at SDxCentral covering secure access service edge (SASE) and secure service edge (SSE). She also writes the monthly Money Moves and Headcount articles. She graduated from the University of Colorado at Boulder with a degree in Journalism and Spanish. Julia can be reached at jking@sdxcentral.com
Julia King is an Editorial Assistant at SDxCentral covering secure access service edge (SASE) and secure service edge (SSE). She also writes the monthly Money Moves and Headcount articles. She graduated from the University of Colorado at Boulder with a degree in Journalism and Spanish. Julia can be reached at jking@sdxcentral.com
JOIN NEWSME ニュースレター購読
KCMEの革新的な技術情報を随時発信
5G・IoT・クラウド・セキュリティ・AIなどの注目領域のコンテンツをお届けします。
KCME注目の技術領域に関するテックブログを配信しています。
KCME注目の技術領域に関するテックブログを配信しています。
RELATED ARTICLE 関連記事
-
OPEN-RAN Dan Meyer2024.06.03
デルとエリクソン、AT&Tが協力=オープンRANの後押しになるか
スウェーデン の通信機器大手エリクソンと米デル・テク…
-
セキュリティ Dan Muse2024.05.30
サイバー攻撃のリスクが最も高い10の業界
サイバー攻撃のリスクにさらされているのは、どのような…
-
セキュリティ Nancy Liu2024.05.22
テック大手・セキュリティ大手68社が取り組み=安全なソフトウェアの構築へ
世界の最大手のソフトウェアベンダー、サイバーセキュリ…
-
セキュリティ Nancy Liu2024.05.15
デル、データ侵害を確認=ハッカーが4900万件の顧客データ販売を主張
デル・テクノロジーズは9日、現在インシデントの調査中…
HOT TAG 注目タグ
RANKING 閲覧ランキング
-
ネットワーク Sean Michael Kerner
2024年における10のネットワーキング技術予測
-
IT Dan Meyer
BroadcomによるVMware製品の価格/ライセンスの変更がどうなったか
-
セキュリティ Nancy Liu
SASE市場が急成長=第1四半期、首位はZscaler
-
IT Dan Meyer
BroadcomがVMwareパートナープログラムの詳細を発表
-
スイッチング技術 Tobias Mann
コパッケージドオプティクスの実用化は何年も先=専門家談
-
セキュリティ Dan Meyer
SIEM市場が激変=CrowdStrikeはAI支援で備え
-
ネットワーク Dan Meyer
AT&T、ノキアのオープンRANへの関心は薄いが、光ファイバーは重視
-
OPEN-RAN Dan Meyer
オープンRANに必要な後押しはAIなのか
-
IT Dan Meyer
米キーサイトがVIAVIのスパイレント買収に「待った」=15億ドルを提示
-
ネットワーク Sean Michael Kerner
2023年 ITネットワークのトレンドTOP10 現時点