OpenSSLのコード、NCC Groupが監査へ--脆弱性の早期発見を目指す

Steven J. Vaughan-Nichols (Special to ZDNET.com) 翻訳校正: 編集部

2015-03-09 11:36

 インターネットのセキュリティに不可欠のSSL(Secure Sockets Layer)とTLS(Transport Layer Security)を提供する「OpenSSL」は、間違いなくインターネットにおける最重要技術の一つだが、「Heartbleed」や「FREAK」など深刻な脆弱性の発見が後を絶たない。そうした中、OpenSSLの潜在的なセキュリティホールを事前に洗い出して悪用に歯止めをかけるべく、技術力に定評のあるセキュリティ企業NCC GroupがOpenSSLのコードを監査することになった。

 OpenSSLのコードは以前から監査の必要性が叫ばれていたが、「火中の栗を拾う」役目に自ら手を挙げる者が現れずに時間だけが経過していた。今回、ついにこの役目を担うことになったNCC Groupは、Core Infrastructure Initiative(CII)からの資金提供を受けて監査を行う。CIIはLinux Foundationが開始した資金提供プロジェクトで、OpenSSL、OpenSSH、NTP(Network Time Protocol)など、重要性が高いにもかかわらず資金難に苦しむオープンソースプロジェクトを支援することを目的としている。

 NCC GroupのプリンシパルエンジニアであるThomas Ritter氏は、次のように述べている。「今回発表された監査は、インターネットを支える技術の一つを深層まで掘り下げるまたとない機会であり、当社がその役目に選ばれたことをとても光栄に感じている。コードの再構成が完了した今、OpenSSLのコードベースはようやく監査に耐えるレベルまで安定した。OpenSSLは、学術界、静的解析を専門とする企業、各種の検証組織、個人で活動する技術者など、幅広い層によって長年にわたり精査および改善されてきたが、当社がこれから開始する監査は、これまでで最も大規模かつオープンな試みとなる。この監査でコードベースの隅々まで網羅するのは難しいが、OpenSSLの構造とセキュリティを改善するうえで、監査は大変に有意義な試みであると確信している」

 NCC Groupは今回の監査で、主にTLSスタックのプロトコルフロー、状態遷移、メモリ管理に注力して検証する。また、BIOと主要な暗号化アルゴリズムも検証し、ASN.1とx509パーサのテスト手法を確立する。

 Ritter氏によると、今回の監査は相当に大規模な試みとなるため、OpenSSLチームと共同で予備的な監査結果を発表できるのは、2015年の初夏になる見通しであるという。OpenSSLがインターネットに果たす役割の重要性と、これまでに露呈した脆弱性の深刻度を鑑みると、この監査による一刻も早いコードの改善が望まれる。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    従来型のセキュリティでは太刀打ちできない「生成AIによるサイバー攻撃」撃退法のススメ

  2. セキュリティ

    AIサイバー攻撃の増加でフォーティネットが提言、高いセキュリティ意識を実現するトレーニングの重要性

  3. 運用管理

    メールアラートは廃止すべき時が来た! IT運用担当者がゆとりを取り戻す5つの方法

  4. 開発

    「スピード感のある価値提供」と「高品質な製品」を両立させるテスト会社の使い方

  5. セキュリティ

    クラウド資産を守るための最新の施策、クラウドストライクが提示するチェックリスト

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]