「DevSecOps」のヒント、自動車業界に学ぶOSSのリスク管理:ブラックダック - (page 2)

國谷武史 (編集部)

2017-09-13 06:00

 アプリケーションのセキュリティを強化する上でPittenger氏は、製造業のアプローチがヒントになると話す。

 例えば、自動車では車両がどのような部品で構成され、部品ごとの機能や特性、また、車両の販売状況といった詳細な情報がメーカーやサプライヤー、ディーラーなどの間で共有されている。いざリコール問題が発覚しても、その原因や対策、影響範囲の特定が速やかになされるケースが多い。

 「自動車の問題では「影響範囲が何万台』などと明確になるが、ソフトウェアの場合は『多数に影響する恐れ』といったような表現で特定することが非常に難しい、という違いがある」(Pittenger氏)

 アプリケーションもプロダクトととらえるなら、自動車などと同様に、開発段階からどのようなソフトウェア、ライブラリ、コード、コンポーネントのどのように採用しているのかを適切に把握できていれば、脆弱性などの問題が発覚しても、原因や影響、範囲、対策といった対応を取りやすくなるというのが、Pittenger氏の主張だ。

プロダクトが構成されている状況を適切に把握することが重要になってくると、Pittenger氏は主張する''
プロダクトが構成されている状況を適切に把握することが重要になってくると、Pittenger氏は主張する

 このため同社は、2016年に「Center for Open Source Research & Innovation」を英国・北アイルランドに開設した。Pittenger氏が責任者を務める同センターでは、OSSにまつわるセキュリティリスクを研究し、脆弱性などの問題に対してユーザーに詳細な状況や想定される影響、回避策を含む対策支援などを提供しているという。

 近年は自動車業界でもITを活用した「スマートカー」などの開発が進む。サイバーセキュリティのカンファレンスで自動車をハッキングする実証実験なども盛んにおこなわれるようになり、同業界ではITセキュリティの知見を取り込もうという動きが活発だ。

 Pittenger氏のいうアプリケーションのセキュリティは、まだ実現には遠い状況かもしれない。それでもPittenger氏は、「より広く活用されるためのセキュリティ情報の提供に努めたい」と話す。アプリケーションのセキュリティは、開発時点のみならず、ビルドからテスト、デプロイ以降までを含むそれぞれの工程で考慮されるべきであるといい、「DevSecOps」(セキュリティが考慮された迅速なソフトウェアの開発から運用のサイクルにおける概念)の普及促進を図りたいとしている。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]