プログラマーは手を抜いているのだろうか。そうではなく、効率的なだけだとCorman氏は言う。
「これを最も的確に言い表す言葉は、お金の時間的価値だ。ユニークな才能を持つ人材には、他の問題に時間を使ってほしいと思うだろう」(Corman氏)
SonatypeやVeracodeのようなサービスを利用する企業もあれば、セキュリティ「フェロー」を雇う企業もある。セキュリティフェローはコード内のセキュリティ脆弱性を発見することで報酬を得る職業だ。
Sonatypeはオープンソースコードのリポジトリを提供しているが、コード内の問題の発見と除去にも力を入れている。実際に、Corman氏は大規模な政府プロジェクトの脆弱性の有無を調査し、ハッカーに攻撃されるおそれがないかどうかを確認したこともある。
そのプロジェクトとは、Healthcare.govのことだ。Healthcare.govはObama政権がオープンしたウェブサイトで、Affordable Care Act(患者保護並びに医療費負担適正化法)の下で提供される医療保険への加入を支援するべく作成された。
同サイトは公開当初、バグの多さが大きく報じられた。そこでCorman氏は、ハッカーの侵入口がないかどうかを確認するため、政府からサイトの構築を請け負った業者が使用したコードを調査した。
同氏は開発者がアクセスしたサードパーティーコードを調べ、いくつか脆弱性が含まれていると結論づけた。しかし、それらの脆弱性が同サイトの最終コードに混入しているかどうかについては、確信が持てなかった。それでも、このニュースは議員を不安にさせたとCorman氏は言う。
議員たちはその後、米連邦法では、政府と契約したソフトウェアプログラマーが自分で記述していないコードも調査することが明示的に義務づけられていないことを認識した。この問題を解決するべく提案された「H.R. 5793」という法案は、成立していれば、ソフトウェア開発者に対し、サードパーティーコードのリストを政府に提出して、すべてのコードに既知の脆弱性が含まれていないことを保証し、将来発見されるあらゆる脆弱性の修正を約束することが義務づけられていたはずだった。
Edward Royce下院議員(共和党、カリフォルニア州選出)は2014年12月、議会の会期末に同法案を提出したが、採決されることはなかった。Corman氏は、行政命令にした方がいいかもしれないと考えている、と述べた。
Veracodeの調査によると、脆弱なソースコードの問題を抱える業界は他にもあるという。たとえば、Veracodeを利用して自社のソフトウェアを調査している小売企業やサービス企業は、データの暗号化の取り組みで、あまり成果が出ていない。このことも、過去1年間にTargetやThe Home Depotといった小売大手で発生した顧客情報の流出を考えると、意外なニュースではない。
ソフトウェア開発のペースは加速する一方なので、この問題に遅れずに対処することが困難になっている、とWysopal氏は述べた。
同氏は「コードを記述する新しい言語と新しい環境は、絶えず発明されている。そして、企業が望むのは、ソフトウェアを可能な限り早く公開することだ」と述べたが、スピードのためにセキュリティを犠牲にする必要はない、と主張する。
「スピードとセキュリティは相反するものではない。セキュリティプロセスを組み込んでも、ベンダーに組み込みを義務づけても、開発を迅速に進めることは可能だ」。Wysopal氏はこのように述べたが、「それを後から付け足すようではだめだ」と指摘している。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
