高度なサイバーセキュリティツールで脆弱性を検出できるようになるのは素晴らしいことだが、コードの安全を守るためには、何よりもまず開発者がセキュティの基本を守らければならない。
提供:sakkmesterke/Getty Images
GitHubの最高セキュリティ責任者(CSO)兼エンジニアリング担当シニアバイスプレジデントを務めるMike Hanley氏は、そうした技術を活用するためには、例えば2要素認証(2FA)を有効にしたり、業界標準やベストプラクティスを採用したりといった基本原則を守る必要があると述べた。
Microsoft傘下のソフトウェア開発プラットフォームであるGitHubには1億人以上のユーザーがおり、その数に見合った相当な量の標的型サイバー攻撃を受けている。しかし、この種の攻撃の形態は、この10年大きく変わっていない。これらの攻撃の大半はフィッシング攻撃やソーシャルエンジニアリング攻撃で、ソフトウェアのメンテナーの認証情報やアカウントを奪ったり、ウェブアプリケーションの脆弱性を悪用しようとしたりするものが多い。
サイバー犯罪者が多くの場合同様の手口を使い続けているため、セキュリティを高めるには、何よりも開発者を守ることが重要になる。Hanley氏は米ZDNETのインタビューで、「脆弱性を防いだり、検出したりするツールを購入するのもいいが、まず最初に取り組むべきなのは、開発者が安全なアプリケーションを構築できるようにすることだ」と語った。
今では、GitHubを使って重要なソフトウェアが開発され(これにはビデオ会議ツールや自動運転車も含まれる)、そのライブラリーが公開されるようになっている。それらのアプリケーションをメンテナンスする人々のアカウントが適切に守られていなければ、ハッカーにそのアカウントが乗っ取られ、ライブラリーが危険にさらされる可能性がある。
Hanley氏は、その被害は広範囲に及ぶ可能性があり、SolarWindsやLog4jのときように、別の第三者のセキュリティ侵害につながりかねないと指摘した。同氏がGitHubに加わり、新たに設けられたCSOの役職に就任したのは、SolarWindsを悪用した大規模な攻撃のニュースが問題になっていた頃だった。
「私たちはいまだに、2FAを使えと言い続けている。基本を身に付けることは最優先事項だ」と同氏は言う。
Hanley氏は、すべてのユーザーに2FAの使用を義務付けるGitHubの取り組みについて説明してくれた。この取り組みは1年半前から進められており、2024年の早い時期には完了する予定だという。
セキュリティー市場は「派手」な製品で溢れかえっているが、ドアに単純だが強力な錠を付けることの必要性は、専門家でも見逃してしまいがちだ。
Hanley氏は、企業の環境を保護する上では、基本的な管理を徹底することや、業界標準やベストプラクティスを採用することの方が効果的だと述べた。ここで言う標準やベストプラクティスには、Cloud Security Allianceが公開しているベンチマークやシンガポールの「Safe App Standard」などがある。後者は、「常識的」なセキュリティ対策の基本や、重要な構成要素を絞り込む際に参考になる民間や公的機関の意見に基づいて作成されたものだ。
