[インタビュー]

「セキュリティへの取り組みは企業ブランド力に直結する」―シノプシス幹部

ソフトウェア開発での「サインオフ」や第三者機関安全認証などが重要

2016年9月1日(木)鈴木 恭子

米国土安全保障省(DHS)の調査によると、現在報告されているセキュリティインシデントの90%はソフトウェアの不具合に対するエクスプロイト(exploit:脆弱性を悪用するコード)が原因であるという。ソフトウェアベンダーに突きつけられた現実は厳しい。脆弱性を的確に検知・修正するすべはあるのか。近年、ソフトウェアセキュリティ分野に注力する米シノプシス(Synopsys)の幹部に話を聞いた。

重要となる、ソフトウェア開発での「サインオフ」

 IoTやスマートホーム、スマートシティなど、複数のソフトウェアが相互に接続されるシステムの普及に伴い、ソフトウェアの品質向上とセキュリティの担保は最重要課題となっている。

 では、ソフトウェアベンダーはどのようにソフトウェアの品質とセキュリティを担保すべきなのか。キュールマン氏は、「ソフトウェア開発とそのサプライチェーン(ソフトウェア開発の取引構造)を通じて『サインオフ』を徹底すべきだ」と説く。

 ソフトウェアサインオフとは、コードチェックイン、コンパイル、ビルドといったソフトウェア開発ライフサイクルの各工程やサードベンダー製ソフトの導入過程で、ソフトウェア(コード)の品質と安全性、セキュリティが保証されているかを確認する行為のことである。シノプシスは、「セキュリティと品質をコントロールするためのテストゲート」と説明する。

 キュールマン氏は、「開発ライフサイクルの各工程において、問題点や脆弱性をテスト・検出し、それらを修正することで、よりセキュアなソフトウェアの提供が可能になる。そのために必要なのが静的コード解析ツールであり、プロトコルファジング(protocol fuzzing:脆弱性を検出するセキュリティテスト)だ。各工程でサインオフを徹底することで、ソフトウェアのインテグリティ(integrity:完全性)は確実に向上する」と力説する。

写真2:米シノプシス ソフトウェアインテグリティ部門マーケティングバイスプレジデントを務めるデビッド・シャルティエ氏

 米国シノプシスでソフトウェアインテグリティ部門マーケティングバイスプレジデントを務めるデビッド・シャルティエ(David Chartier)氏は、「最近の車載システムは1億行のコードが含まれている」として、GPSやラジオ、ステアリングをコントロールするソフトなどは、多数のサードベンダーから購入したコードで成り立っていると説明する。

 また同氏は、昨年Black Hatコンファレンスで公開されて世界中の注目を集めたジープ・チェロキー(Jeep Cherokee)の脆弱性は、サードベンダーから供給されたソフトウェアの脆弱性に起因するものであったことも挙げる。「米FCA(旧フィアットクライスラー)は、脆弱なソフトを自社製品に組み込んでしまったことで、莫大な損失を出す結果となった」(関連記事:「IoT時代、サイバー攻撃が人の生死を左右する」―セキュリティ専門家たちが警告

 そして、ソフトウェアの脆弱性に起因する製品は、利用者のプライバシーをも危険にさらす。その一例がネットワークカメラだ。インターネットを介し、PCやスマートフォンでリアルタイムにカメラの映像を確認できるネットワークカメラは、親が乳幼児を監視する「ベビーカメラ」として販売されている。しかし、ベビーカメラのハッキング事例は、ベンダーを問わず複数報告されており、多くの場合で要因となっているのがソフトウェアの脆弱性である。

 シャルティエ氏は「こうした脆弱性に対するサイバー攻撃はプライバシーを侵害し、人命に直接の被害を及ぼす。『クレジットカードのパスワードが偽装されました』というレベルとは訳が違う」と危惧をあらわにする。

関連キーワード

Synopsys / サイバー攻撃 / ソフトウェア開発

関連記事

Special

-PR-

「セキュリティへの取り組みは企業ブランド力に直結する」―シノプシス幹部 [ 2/3 ] 米国土安全保障省(DHS)の調査によると、現在報告されているセキュリティインシデントの90%はソフトウェアの不具合に対するエクスプロイト(exploit:脆弱性を悪用するコード)が原因であるという。ソフトウェアベンダーに突きつけられた現実は厳しい。脆弱性を的確に検知・修正するすべはあるのか。近年、ソフトウェアセキュリティ分野に注力する米シノプシス(Synopsys)の幹部に話を聞いた。

PAGE TOP