今書いているソースコードは安全か？
（2008/12/24公開）

セキュリティーの組み込み

　初めからセキュアコーディングを実践すること、それがWebやそのほか独自開発のアプリケーションへの猛攻撃に対して、組織が効果的に対抗できる唯一の方法であると、多くのセキュリティーの専門家は口をそろえます。

　身を粉にして働くことよりも、賢く働くことがビジネスでの常識になっています。残念ながら、昨今のITセキュリティー管理者の多くは、このアドバイスに従っていません。問題の根本原因、すなわち、危険なソフトウエアに正面から対処する代わりに、脆弱（ぜいじゃく）性を追いかけては火を消しているだけです。

　管理者は、大抵、これらの問題をソフトウエアベンダーのせいにします。しかし、実際のところ、マイクロソフトやオラクルなど大手ベンダーのソフトウエアに存在する脆弱性は、数においても深刻度においても、低下の傾向にあるのです。それにもかかわらず、アプリケーションの脆弱性と攻撃は世界全体で数を増し続けています。

　これは一体、どういうことでしょうか？実は、オペレーティングシステムのベンダーがセキュリティー上の問題をどんどん排除するにつれ、企業は安全なアプリケーションを書く技術を持っていない点にハッカーのほとんどが目をつけたのです。そして、独自に開発したWebアプリケーションを始め、企業のアプリケーション層への攻撃を開始したのです。

　「ハッカーは、Windowsに障害を発生させる攻撃より、もっと簡単な対象を狙った攻撃を選ぶ傾向にあります」こう語るのは、マイクロソフト社のセキュリティープログラム主任管理者マイケル・ハワード氏です。同氏は『The Security Development Lifecycle and Writing Secure Code（セキュリティー開発ライフサイクルとセキュアコードライティング：仮題）』の著者でもあります。「不幸なことに、攻撃しやすい対象には事欠きません」

　IBMインターネットセキュリティシステムズX-フォースの2008年度中間傾向統計報告書は、この傾向を明らかに指摘しています。この調査によると、今年報告されたすべての脆弱性のうち、51％がWebアプリケーションの脆弱性でした。報告書には「ここ数年、エンドポイントでの搾取は、オペレーティングシステムからWebブラウザやマルチメディアアプリケーションへと大きく標的を移動している」と記述されています。

　多くのセキュリティー専門家によれば、Webやそのほか独自開発のアプリケーションへの猛攻撃に対して、組織が効果的に対抗できる唯一の方法は、最初からセキュリティーを組み込むこと－すなわち、セキュアコーディングを徹底的に実践することです。

プログラマーの教育

　Webアプリケーションセキュリティーコンソーシアムが今年の6月に行った報告によると、32,000にのぼる商業Webサイトを評価した結果、ほぼ97％に極めて深刻な脆弱性が発見されました。大半のセキュリティー専門家は、IT部門のデベロッパー層に、典型的な教育不足がまん延していることが問題の原因だと、意見が一致しています。

　「世界には1700万人のプログラマーがいます。そのうちの1％でさえ、公式であれ非公式であれ、安全なソフトウエアを開発する何らかの教育を受けているか…疑問ですね」ホワイトハットセキュリティー社の創立者兼最高技術責任者ジェレミア・グロスマン氏の意見です。「どうすれば安全に書けるかを知らないプログラマーたちが、毎日、めちゃくちゃなコードを書き散らしています」

　マイクロソフト社のハワード氏によると、大学でコンピュータサイエンスを専攻する学生でさえ、セキュリティーを念頭に置いたプログラミングをまったく学習しない状態で卒業しています。「まったくお笑いです。私がプログラミングの基礎だと考える技能を採り上げている学校は、ほとんどありません。セキュリティーは何も特別なものではないのに、なぜか特別なものとして扱われているのです。実際には、セキュリティーはソフトウエアを出荷する上での一環に過ぎません」

Copyright © 2008 Ziff Davis Enterprise, Inc.
Originally appearing in the U.S. Edition of Baseline. All Rights Reserved.