攻撃者は部品化したソフトウェアを狙い始めたソフトウェア品質管理に
舵を切り始めたセキュリティ
IT革命が叫ばれてから四半世紀以上が経過した。今では業務アプリケーションやITソリューションは言うまでもなく、自動車、家電など、さまざまなサービスやプロダクトに、ソフトウェアが部品として使われている。そして、ITは現代社会の重要インフラとなった。世界は、知らず知らずのうちにこの部品化したソフトウェアで成り立つようになった。
このような状況をサイバー攻撃の攻撃者はもちろん見逃さない。そして、ソフトウェアの部品に潜む脆弱性の脅威が放置しきれなくなったことから、米国政府はこの部品化したソフトウェアの把握と管理を大統領令で強く求めた。それは、ソフトウェア部品表(Software Bill Of Materials:SBOM)によって、ソフトウェアの部品およびライセンス関連情報、依存関係などを一覧化して管理するという形で実現した。
セキュリティは急激に方向転換をしようとしている。その新しい方向とはソフトウェア自体の品質を高めることだ。すでに従来の壁やセンサーを配置することによるセキュリティの効果が限定的となっている。今後、ソフトウェアの品質管理こそがセキュリティの最重要事項になっていくだろう。
SBOM
社会基盤となったITは、階層化された無数の部品化されたソフトウェアで成り立っている。また、ITが中心となった世界のビジネスは「スピードが重視」される傾向が顕著となり、部品レベルの精緻な管理が難しくなった。そして、その状況がサイバー攻撃の深刻な脅威となった。その状況を打開するため、2021年の米国大統領令によってSBOMの重要性が高まり、日本でもセキュリティ分野におけるネクストバズワードと目されるようになった。
PSIRT
セキュリティ分野において、インシデント対応する組織としてCSIRT(※)が有名だ。そのCSIRTが守るべき対象が情報システム部門の管理する基幹システムなどなのに対し、PSIRT(※)は製造または販売する製品のインシデント対応するための組織だ。すでに、数多くの製品がITによって構成されており、製造者の責任を果たすために多くの製造業がインシデント対応のための組織体制の整備を開始している。
※CSIRT:Computer Security Incident Response Team
※PSIRT:Product Security Incident Response Team
ファジング
ファジングは「無効」「不正」または「予期しない」入力をシステムにすることによって、ソフトウェアの欠陥や脆弱性を明らかにするソフトウェアテストの手法のひとつだ。かつて一時的なブームもあったが、入力がシンプルなものに限定される場合や複数系統の入力のないシステムでは必要性が低かった。しかし、自動運転システムなどの技術進化により、複雑な入力を伴う場合が増加しつつあり、高度な先進領域で再評価されている。
ランサムウェア対策
2010年代半ばから猛威を振るったランサムウェアを使った攻撃は、現在ではその標的を個人から組織に拡大している。そこには著名な企業も含まれ、多くの組織でランサムウェアの脅威を無視できない状況となっている。この厄介なランサムウェアを使った攻撃の対策として、ランサムウェアを使った攻撃への対策は、侵入やインシデント発生後の対応までの複数の対策の組み合わせで構成されている。
特別対談
-
複雑なソフトウェアサプライチェーンの中で、脆弱性をどう把握する?大阪大学の猪俣教授に聞く、SBOMの現在位置とこれからの活用法
-
ベリサーブと京産大井上研究室が共同検証 セキュリティ技術で、日本のものづくりを持続可能に
-
ベリサーブと京産大井上研究室が共同検証 サイバー攻撃の標的に成り得るようになった自動車とその対策
-
技術者のおもちゃから重要な社会基盤に 国内ベンダーのトップが語るOSSの四半世紀とこれから SRA OSS稲葉氏×ベリサーブ武田氏対談
-
中央大学 国際情報学部 飯尾淳教授に聞く OSS学術研究の第一人者が説く、「これからのOSS、AIとの付き合い方」
-
セキュリティは「品質」を基準に考えるべき—— 「セキュリティでガンダムを語る人」がソフトウェアテストの会社に転職した理由
-
ベリサーブに聞く、今、工場セキュリティが求められる理由 発注者と受注者ではなく、モノ作りの仲間として工場セキュリティを支援
-
ベリサーブ武田氏が振り返るこれまでの道のり モノ作りの世界でも広がる「自分ごと」としてのセキュリティ
-
狙われる製造業!「バックアップ」を狙うランサムウェア、操業停止を防ぐには?
[PR]企画・制作 朝日インタラクティブ株式会社 営業部 掲載内容有効期限:2025年3月31日