[インタビュー]

「セキュリティへの取り組みは企業ブランド力に直結する」─シノプシス幹部

ソフトウェア開発での「サインオフ」や第三者機関安全認証などが重要

2016年9月1日(木)鈴木 恭子(ITジャーナリスト)

米国土安全保障省(DHS)の調査によると、現在報告されているセキュリティインシデントの90%はソフトウェアの不具合に対するエクスプロイト(exploit:脆弱性を悪用するコード)が原因であるという。ソフトウェアベンダーに突きつけられた現実は厳しい。脆弱性を的確に検知・修正するすべはあるのか。近年、ソフトウェアセキュリティ分野に注力する米シノプシス(Synopsys)の幹部に話を聞いた。

大半のソフトウェアは、複数のサードベンダー/OSSコードの組み合わせ

 クラウドやIoT(Internet of Things)の進展も手伝って、自動車や通信、医療機器といった我々の生活を支えるシステムや製品のインテリジェント化が以前よりさらに進行している。

 そのような状況下、インテリジェント製品の根幹となるソフトウェアも複雑化が極まっている。大半のシステムや製品は、今では自社開発のソフトウェアだけでなく、複数のサードベンダーによるソフトウェア部品(コード)やOSS(オープンソースソフトウェア)が組み込まれている。ソフトウェア製品に包含されるサードベンダーのコードは全体の90%に達することも少なくないようだ。

 「開発や調達の手法、さらに安全基準の異なるソフトウェアが混在するシステムや製品は、セキュリティの観点から見て脆弱性を抱えている」と指摘するのは、シノプシスのソフトウェアインテグリティ部門ゼネラルマネジャー/シニアバイスプレジデントを務めるアンドレア・キュールマン(Andreas Kuehlmann)氏だ(写真1)。

写真1:米シノプシス ソフトウェアインテグリティ部門ゼネラルマネジャー/シニアバイスプレジデントのアンドレア・キュールマン氏

 現在のシノプシスは、EDA(Electronic Design Automation)やIP(Intellectual Property)製品に加えて、ソフトウェアセキュリティを主力事業の1つに据える。2014年2月にソースコードの静的解析ツールを提供する米コベリティ(Coverity)、2015年4月にOpenSSL脆弱性の「Heartbleed」を発見したフィンランドのコードノミコン(Codenomicon)、2016年3月には車載用故障シミュレーション技術を有する米WinterLogicをそれぞれ買収している。キュールマン氏は「今後もこの分野には積極的に投資し、市場の成熟に貢献していく」と語る。

重要となる、ソフトウェア開発での「サインオフ」

 IoTやスマートホーム、スマートシティなど、複数のソフトウェアが相互に接続されるシステムの普及に伴い、ソフトウェアの品質向上とセキュリティの担保は最重要課題となっている。

 では、ソフトウェアベンダーはどのようにソフトウェアの品質とセキュリティを担保すべきなのか。キュールマン氏は、「ソフトウェア開発とそのサプライチェーン(ソフトウェア開発の取引構造)を通じて『サインオフ』を徹底すべきだ」と説く。

 ソフトウェアサインオフとは、コードチェックイン、コンパイル、ビルドといったソフトウェア開発ライフサイクルの各工程やサードベンダー製ソフトの導入過程で、ソフトウェア(コード)の品質と安全性、セキュリティが保証されているかを確認する行為のことである。シノプシスは、「セキュリティと品質をコントロールするためのテストゲート」と説明する。

 キュールマン氏は、「開発ライフサイクルの各工程において、問題点や脆弱性をテスト・検出し、それらを修正することで、よりセキュアなソフトウェアの提供が可能になる。そのために必要なのが静的コード解析ツールであり、プロトコルファジング(protocol fuzzing:脆弱性を検出するセキュリティテスト)だ。各工程でサインオフを徹底することで、ソフトウェアのインテグリティ(integrity:完全性)は確実に向上する」と力説する。

写真2:米シノプシス ソフトウェアインテグリティ部門マーケティングバイスプレジデントを務めるデビッド・シャルティエ氏

 米国シノプシスでソフトウェアインテグリティ部門マーケティングバイスプレジデントを務めるデビッド・シャルティエ(David Chartier)氏は、「最近の車載システムは1億行のコードが含まれている」として、GPSやラジオ、ステアリングをコントロールするソフトなどは、多数のサードベンダーから購入したコードで成り立っていると説明する。

 また同氏は、昨年Black Hatコンファレンスで公開されて世界中の注目を集めたジープ・チェロキー(Jeep Cherokee)の脆弱性は、サードベンダーから供給されたソフトウェアの脆弱性に起因するものであったことも挙げる。「米FCA(旧フィアットクライスラー)は、脆弱なソフトを自社製品に組み込んでしまったことで、莫大な損失を出す結果となった」(関連記事:「IoT時代、サイバー攻撃が人の生死を左右する」―セキュリティ専門家たちが警告

 そして、ソフトウェアの脆弱性に起因する製品は、利用者のプライバシーをも危険にさらす。その一例がネットワークカメラだ。インターネットを介し、PCやスマートフォンでリアルタイムにカメラの映像を確認できるネットワークカメラは、親が乳幼児を監視する「ベビーカメラ」として販売されている。しかし、ベビーカメラのハッキング事例は、ベンダーを問わず複数報告されており、多くの場合で要因となっているのがソフトウェアの脆弱性である。

 シャルティエ氏は「こうした脆弱性に対するサイバー攻撃はプライバシーを侵害し、人命に直接の被害を及ぼす。『クレジットカードのパスワードが偽装されました』というレベルとは訳が違う」と危惧をあらわにする。

●Next:セキュリティへの真摯な取り組みが企業経営にもたらすもの

この記事の続きをお読みいただくには、
会員登録(無料)が必要です
  • 1
  • 2
関連キーワード

Synopsys / サイバー攻撃 / ソフトウェア開発 / Black Hat / Coverity / OpenSSL / DevSecOps

関連記事

トピックス

[Sponsored]

「セキュリティへの取り組みは企業ブランド力に直結する」─シノプシス幹部米国土安全保障省(DHS)の調査によると、現在報告されているセキュリティインシデントの90%はソフトウェアの不具合に対するエクスプロイト(exploit:脆弱性を悪用するコード)が原因であるという。ソフトウェアベンダーに突きつけられた現実は厳しい。脆弱性を的確に検知・修正するすべはあるのか。近年、ソフトウェアセキュリティ分野に注力する米シノプシス(Synopsys)の幹部に話を聞いた。

PAGE TOP