アプリケーションのセキュリティを強化する上でPittenger氏は、製造業のアプローチがヒントになると話す。
例えば、自動車では車両がどのような部品で構成され、部品ごとの機能や特性、また、車両の販売状況といった詳細な情報がメーカーやサプライヤー、ディーラーなどの間で共有されている。いざリコール問題が発覚しても、その原因や対策、影響範囲の特定が速やかになされるケースが多い。
「自動車の問題では「影響範囲が何万台』などと明確になるが、ソフトウェアの場合は『多数に影響する恐れ』といったような表現で特定することが非常に難しい、という違いがある」(Pittenger氏)
アプリケーションもプロダクトととらえるなら、自動車などと同様に、開発段階からどのようなソフトウェア、ライブラリ、コード、コンポーネントのどのように採用しているのかを適切に把握できていれば、脆弱性などの問題が発覚しても、原因や影響、範囲、対策といった対応を取りやすくなるというのが、Pittenger氏の主張だ。
プロダクトが構成されている状況を適切に把握することが重要になってくると、Pittenger氏は主張する
このため同社は、2016年に「Center for Open Source Research & Innovation」を英国・北アイルランドに開設した。Pittenger氏が責任者を務める同センターでは、OSSにまつわるセキュリティリスクを研究し、脆弱性などの問題に対してユーザーに詳細な状況や想定される影響、回避策を含む対策支援などを提供しているという。
近年は自動車業界でもITを活用した「スマートカー」などの開発が進む。サイバーセキュリティのカンファレンスで自動車をハッキングする実証実験なども盛んにおこなわれるようになり、同業界ではITセキュリティの知見を取り込もうという動きが活発だ。
Pittenger氏のいうアプリケーションのセキュリティは、まだ実現には遠い状況かもしれない。それでもPittenger氏は、「より広く活用されるためのセキュリティ情報の提供に努めたい」と話す。アプリケーションのセキュリティは、開発時点のみならず、ビルドからテスト、デプロイ以降までを含むそれぞれの工程で考慮されるべきであるといい、「DevSecOps」(セキュリティが考慮された迅速なソフトウェアの開発から運用のサイクルにおける概念)の普及促進を図りたいとしている。
