[インタビュー]

「セキュリティへの取り組みは企業ブランド力に直結する」―シノプシス幹部

ソフトウェア開発での「サインオフ」や第三者機関安全認証などが重要

2016年9月1日(木)鈴木 恭子

米国土安全保障省(DHS)の調査によると、現在報告されているセキュリティインシデントの90%はソフトウェアの不具合に対するエクスプロイト(exploit:脆弱性を悪用するコード)が原因であるという。ソフトウェアベンダーに突きつけられた現実は厳しい。脆弱性を的確に検知・修正するすべはあるのか。近年、ソフトウェアセキュリティ分野に注力する米シノプシス(Synopsys)の幹部に話を聞いた。

セキュリティはブランド力に直結する

 ソフトウェアセキュリティへの真摯な取り組みは、企業経営を取り巻くリスクを回避するだけでなく、市場での差別化要因となり、ブランド力をも向上させる。

 ソフトウェアの品質と安全性の確保で重要となるのが、第三者機関による安全認証だ。例えば、自動車分野の国際的な機能安全規格である「ISO 26262」では、自動車の機能安全の管理について、「コンセプト(要求定義段階)」から「開発」「生産」「保守・運用」「廃車」まで、製品ライフサイクル全体の機能安全を定義している。シャルティエ氏は「(自動車にソフトウェアを提供する)ベンダーがこうした規格を準拠すれば、自動車自体のブランド力も向上する。現在、高級車を購入する顧客は、安全性を重視している」と指摘する。

 シノプシスは2016年4月、米国の第三者安全科学機関であるUL(Underwriters Laboratories)と提携し、サイバーセキュリティ認証プログラムである「UL CAP(Cybersecurity Assurance Program)」に協力すると発表した。UL CAPは、ネットワークデバイスやシステムのソフトウェアの脆弱性と弱点を評価し、脆弱性の悪用の最小化や既知のマルウェアへの対応、セキュリティ管理機能の評価、セキュリティ意識の向上を図ることを目的としたものだ。シノプシスはUL CAPのセキュリティテストで利用する各種ツールを提供している。

 こうした認証プログラムについてシャルティエ氏は、「セキュリティと品質担保の“ベースライン”であり、ソフトウェア・サプライチェーンの中で(提供されるソフトウェアコンポーネントの)安心基準の1つとなる」と説明する。

 例えば、2020年に東京で開催される夏季オリンピック・パラリンピックのITシステムを考えてほしいとシャルティエ氏。大規模な国際イベント運絵のバックボーンとなるシステムには大型スクリーンの中継ネットワークや多数のIoTデバイスが接続される。

 「つまり、あらゆるベンダーがオリンピック・パラリンピックという1つのプロジェクトを遂行するために、複雑に相互接続する。その時に必要なのは一定基準を満たしたソフトウェア(コンポーネント)であり、(そこに参加する)ベンダーには(セキュリティ基準を満たしたコードを提供するという)信用性が問われるのだ」(シャルティエ氏)

 なお同社は、医療系デバイスのハッキング専門家としても有名な人物として知られるセキュリティ専門家のビリー・リオス(Billy Rios)氏と業務契約を結び、ペネトレーションやファジングテストなどを同氏の協力で実施している。その目的は「脆弱性に対してあらゆる知見がある人物。ゼロデイ攻撃のリスクを低減するためには、自らをハックし、検査することが有用な手段だからだ」(シャルティエ氏)とのことだ。

関連キーワード

Synopsys / サイバー攻撃 / ソフトウェア開発

関連記事

Special

-PR-

「セキュリティへの取り組みは企業ブランド力に直結する」―シノプシス幹部 [ 3/3 ] 米国土安全保障省(DHS)の調査によると、現在報告されているセキュリティインシデントの90%はソフトウェアの不具合に対するエクスプロイト(exploit:脆弱性を悪用するコード)が原因であるという。ソフトウェアベンダーに突きつけられた現実は厳しい。脆弱性を的確に検知・修正するすべはあるのか。近年、ソフトウェアセキュリティ分野に注力する米シノプシス(Synopsys)の幹部に話を聞いた。

PAGE TOP