海外コメンタリー

コードの再利用は深刻な脆弱性混入の要因にも--開発に求められるスピードとセキュリティ - (page 2)

Laura Hautala (CNET News) 翻訳校正: 川村インターナショナル 2015年07月10日 06時30分

  • このエントリーをはてなブックマークに追加
  • 印刷

 プログラマーは手を抜いているのだろうか。そうではなく、効率的なだけだとCorman氏は言う。

 「これを最も的確に言い表す言葉は、お金の時間的価値だ。ユニークな才能を持つ人材には、他の問題に時間を使ってほしいと思うだろう」(Corman氏)

 SonatypeやVeracodeのようなサービスを利用する企業もあれば、セキュリティ「フェロー」を雇う企業もある。セキュリティフェローはコード内のセキュリティ脆弱性を発見することで報酬を得る職業だ。

 Sonatypeはオープンソースコードのリポジトリを提供しているが、コード内の問題の発見と除去にも力を入れている。実際に、Corman氏は大規模な政府プロジェクトの脆弱性の有無を調査し、ハッカーに攻撃されるおそれがないかどうかを確認したこともある。

 そのプロジェクトとは、Healthcare.govのことだ。Healthcare.govはObama政権がオープンしたウェブサイトで、Affordable Care Act(患者保護並びに医療費負担適正化法)の下で提供される医療保険への加入を支援するべく作成された。

 同サイトは公開当初、バグの多さが大きく報じられた。そこでCorman氏は、ハッカーの侵入口がないかどうかを確認するため、政府からサイトの構築を請け負った業者が使用したコードを調査した。

 同氏は開発者がアクセスしたサードパーティーコードを調べ、いくつか脆弱性が含まれていると結論づけた。しかし、それらの脆弱性が同サイトの最終コードに混入しているかどうかについては、確信が持てなかった。それでも、このニュースは議員を不安にさせたとCorman氏は言う。

 議員たちはその後、米連邦法では、政府と契約したソフトウェアプログラマーが自分で記述していないコードも調査することが明示的に義務づけられていないことを認識した。この問題を解決するべく提案された「H.R. 5793」という法案は、成立していれば、ソフトウェア開発者に対し、サードパーティーコードのリストを政府に提出して、すべてのコードに既知の脆弱性が含まれていないことを保証し、将来発見されるあらゆる脆弱性の修正を約束することが義務づけられていたはずだった。

 Edward Royce下院議員(共和党、カリフォルニア州選出)は2014年12月、議会の会期末に同法案を提出したが、採決されることはなかった。Corman氏は、行政命令にした方がいいかもしれないと考えている、と述べた。

 Veracodeの調査によると、脆弱なソースコードの問題を抱える業界は他にもあるという。たとえば、Veracodeを利用して自社のソフトウェアを調査している小売企業やサービス企業は、データの暗号化の取り組みで、あまり成果が出ていない。このことも、過去1年間にTargetThe Home Depotといった小売大手で発生した顧客情報の流出を考えると、意外なニュースではない。

 ソフトウェア開発のペースは加速する一方なので、この問題に遅れずに対処することが困難になっている、とWysopal氏は述べた。

 同氏は「コードを記述する新しい言語と新しい環境は、絶えず発明されている。そして、企業が望むのは、ソフトウェアを可能な限り早く公開することだ」と述べたが、スピードのためにセキュリティを犠牲にする必要はない、と主張する。

 「スピードとセキュリティは相反するものではない。セキュリティプロセスを組み込んでも、ベンダーに組み込みを義務づけても、開発を迅速に進めることは可能だ」。Wysopal氏はこのように述べたが、「それを後から付け足すようではだめだ」と指摘している。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

SpecialPR

連載

CIO
月刊 Windows 10移行の心・技・体
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
セキュリティインシデント対応の現場
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft Inspire
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]