ソフトウェア・セキュリティは西部開拓時代にある(そして、それは私たちを殺すことになるだろう

2019年3月13日発行
ピーテル・ダンヒョウ著
ケーススタディ

ソフトウェア・セキュリティは西部開拓時代にある(そして、それは私たちを殺すことになるだろう

2019年3月13日発行
ピーテル・ダンヒョウ著
リソースを見る
リソースを見る

原文はこちら CSOオンライン

セミリタイアした倫理的ハッカー、セキュリティ専門家、そして総合的なコンピュータオタクとして、私はテクノロジーにとても関心があると言えるかもしれません。テクノロジーがどのように作られたのか、何をするものなのか、そしてそれが私たちの生活をどのようにしてより良く、より効率的にするのか、といったことが気になります。私は常に機器の「ボンネットの中」を見て、そこにある最高の(そして最悪の)コードの例を見ています。最近では、エアコンシステムをAndroidアプリで遠隔操作する方法を調べました(WiFiネットワーク上の誰もが、何の認証もなしにエアコンを操作できることを知ったときの驚きを想像してみてください)。

デジタル化が進み、個人情報を共有するライフスタイルがもたらす現実的な危険性と同様に、ソフトウェアのセキュリティは常に私にとって最重要課題です。結局のところ、私たちはほとんど規制されておらず、監視されておらず、至って無視されている領域にいるのです。私たちは西部開拓時代にいるのです。

社会全体として、私たちは日常的に使用しているテクノロジーの裏側を見ていません。実際、私たちの多くは、購入して使用している無数のアプリケーション、サービス、そしてますます接続されるようになったモノの中にあるソフトウェアがどれほど安全であるかを知らないのです。本質的にそれらを信頼しているわけではなく、単にそれらについて全く考えていないのです。

ソニー・プレイステーションネットワーク(PSN)、チケットマスター、ヤフー、フェイスブック、ターゲット。ソフトウェアの脆弱性が悪用され、何百万、何千万もの顧客記録が流出したのです。これらの例は、過去10年間に発生した世界的な情報漏えいのほんの一部に過ぎません。これらは、悪者が私たちの貴重な情報を盗むことを可能にする、不十分なソフトウェアセキュリティの犠牲となる結果なのです。

データ漏洩というと、多くの人は情報セキュリティの漏洩を思い浮かべるでしょう。漏洩した企業にとっては悪夢であり、個人情報に影響を受けた人にとっては不便であると理解されていますが、真面目な話、何が大問題なのでしょうか?セキュリティを無視し続けた場合、その結果はそれほど大きなものになるのでしょうか?これまでのところ、それほど大きな問題は起きていません。データ漏洩は、責任を負う企業に深刻な影響を与えますが、それは彼らの問題ですよね?ビジネスを失い、消費者の信頼を失い、最終的には彼らが問題を解決し、損害を賠償することになります。

ソフトウェアのセキュリティは、すべての組織の優先事項であるべきです。

開発チームを持つすべての企業にとって、ソフトウェアセキュリティが最重要課題ではないのは、非常に単純な理由からです。それは、まだ十分な数の人々が命を落としておらず、リスクに関する知識が十分ではないからです。

病的?そうかもしれません。しかし、これは正直な真実です。規制や構築基準、法律を変えるような注意は、実際に人的コストが発生したときに(例えば政府機関などから)行われる。

例えば、橋があります。何百年もの歴史を持つ土木技術者は、橋を建設する際には安全性を重視します。美しさや基本的な機能性だけではありません。すべての橋には厳しい安全規制が求められ、土木技術者も社会も高い安全性を期待するようになってきました。現在では、安全性が確保されていない橋は、危険で使い物にならないと考えられています。これは、ソフトウェアエンジニアリングの世界でも、まだまだ進化していかなければならないことなのです。

現代の例では、玩具業界を見てみましょう。戦後のベビーブームの影響で、1950年代に玩具の生産と販売が急増しました。興味深いことに、おもちゃに関連した事故による救急外来の受診件数もこの時期に増加したと報告されています。おもちゃの矢で目を負傷したり、小さなおもちゃ(大きなおもちゃから取り外した部品)を飲み込んだり、少女向けに販売されたおもちゃのオーブンは、一般家庭のオーブンよりも高い温度で加熱できるものでした。

当時の玩具業界は「ワイルドウエスト」と呼ばれていました。極端な状況下での禁止やリコールを除いて、規制はほとんどありませんでした。玩具メーカーは基本的に自由に好きな玩具を作ることができ、安全性に関する懸念は、すでにいくつかの事故が報告された後に指摘されるのが普通でした。1969年にリチャード・ニクソンが制定した「玩具安全法」のような法案が法制化されてからは、危険な玩具のテストとその後の禁止が、アメリカだけでなく世界中で標準的に行われるようになったのです。事故が起こることは確かですが、今日ではおもちゃの製造過程において「安全第一」の方針が採用されており、子供たちが危険にさらされる可能性ははるかに低くなっています。

現在、ソフトウェアセキュリティの分野では、「ワイルドウェスト」と呼ばれています。プライバシー(特に最近のGDPR)や顧客データの保護に関する明らかな法規制や、いくつかの国における違反報告の義務化を除けば、主流のビジネスやコミュニティでは、ソフトウェアに組み込まれているセキュリティのレベルについて、ほとんど何も言われず、何もされません。そのような法律でさえ、実際のソフトウェアが規制されていたり、強制的に満たさなければならないセキュリティ基準があるというよりも、企業の責任に関連しています。

私たちはそこに到達しますが、そのためにはまず破壊の道を歩む必要があるかもしれません。

ガートナー社は、2020年までにインターネットに接続された機器が84億台になると予測しています。これは、2016年から31%増加した数字です。これには、家電製品だけでなく、医療機器や産業用機器なども含まれます。これは、ハッカーにとっては非常に多くの機会となります。

ある人のペースメーカーを動かすソフトウェアが安全でないとします。ハッカーが侵入し、被害者の心臓を止めてしまう可能性があるのです。医師は、ハッキングによる暗殺を防ぐために、ディック・チェイニーのペースメーカーのWiFiを無効にしました)。)接続された電子レンジややかんが遠隔操作で爆破されたり、接続された電気自動車のブレーキが解除されたりする可能性もあります(私たちが家庭で使用しているさまざまなモノのインターネット機器も同様です)。まるでハリウッドのアクション映画のような話ですが、これらの先進的なコネクテッドテクノロジーのソフトウェアが侵入された場合、石油・ガス産業におけるサイバー攻撃の爆発的な影響と同様に、私たちは本当に潜在的な災害を手にすることになります。

私たちの生活がますますデジタルに依存していく中で、悪意のあるハッキングがもたらす悲惨な結果を未然に防ぐことができます。そのためには、開発者が安全なコーディングに興味を持ち、開発チームに強固なセキュリティ意識と文化を根付かせることから始めなければなりません。

あなたのソフトウェア革命はここから始まります。銀行業界は、従来の(退屈な)トレーニングを覆すような、実に革新的なアプローチで、不良コードとの戦いにおいてゲーミフィケーションを取り入れたトレーニングを率先して行っています。実際、オーストラリアの銀行上位6行は、現在、開発者にこの方法でセキュリティマインドを植え付けています。当社のお客様であるIAGグループが、次のレベルのtournament で行ったことをご覧ください。

リソースを見る
リソースを見る

著者

ピーテル・ダンヒユー

Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。

もっと知りたい?

セキュアコーディングに関する最新の知見をブログでご紹介しています。

当社の豊富なリソースライブラリは、安全なコーディングアップスキルに対する人間的なアプローチを強化することを目的としています。

ブログを見る
もっと知りたい?

開発者主導のセキュリティに関する最新の研究成果を入手する

ホワイトペーパーからウェビナーまで、開発者主導のセキュアコーディングを始めるために役立つリソースが満載のリソースライブラリです。今すぐご覧ください。

リソース・ハブ

ソフトウェア・セキュリティは西部開拓時代にある(そして、それは私たちを殺すことになるだろう

2024年1月22日発行
Pieter Danhieux著

原文はこちら CSOオンライン

セミリタイアした倫理的ハッカー、セキュリティ専門家、そして総合的なコンピュータオタクとして、私はテクノロジーにとても関心があると言えるかもしれません。テクノロジーがどのように作られたのか、何をするものなのか、そしてそれが私たちの生活をどのようにしてより良く、より効率的にするのか、といったことが気になります。私は常に機器の「ボンネットの中」を見て、そこにある最高の(そして最悪の)コードの例を見ています。最近では、エアコンシステムをAndroidアプリで遠隔操作する方法を調べました(WiFiネットワーク上の誰もが、何の認証もなしにエアコンを操作できることを知ったときの驚きを想像してみてください)。

デジタル化が進み、個人情報を共有するライフスタイルがもたらす現実的な危険性と同様に、ソフトウェアのセキュリティは常に私にとって最重要課題です。結局のところ、私たちはほとんど規制されておらず、監視されておらず、至って無視されている領域にいるのです。私たちは西部開拓時代にいるのです。

社会全体として、私たちは日常的に使用しているテクノロジーの裏側を見ていません。実際、私たちの多くは、購入して使用している無数のアプリケーション、サービス、そしてますます接続されるようになったモノの中にあるソフトウェアがどれほど安全であるかを知らないのです。本質的にそれらを信頼しているわけではなく、単にそれらについて全く考えていないのです。

ソニー・プレイステーションネットワーク(PSN)、チケットマスター、ヤフー、フェイスブック、ターゲット。ソフトウェアの脆弱性が悪用され、何百万、何千万もの顧客記録が流出したのです。これらの例は、過去10年間に発生した世界的な情報漏えいのほんの一部に過ぎません。これらは、悪者が私たちの貴重な情報を盗むことを可能にする、不十分なソフトウェアセキュリティの犠牲となる結果なのです。

データ漏洩というと、多くの人は情報セキュリティの漏洩を思い浮かべるでしょう。漏洩した企業にとっては悪夢であり、個人情報に影響を受けた人にとっては不便であると理解されていますが、真面目な話、何が大問題なのでしょうか?セキュリティを無視し続けた場合、その結果はそれほど大きなものになるのでしょうか?これまでのところ、それほど大きな問題は起きていません。データ漏洩は、責任を負う企業に深刻な影響を与えますが、それは彼らの問題ですよね?ビジネスを失い、消費者の信頼を失い、最終的には彼らが問題を解決し、損害を賠償することになります。

ソフトウェアのセキュリティは、すべての組織の優先事項であるべきです。

開発チームを持つすべての企業にとって、ソフトウェアセキュリティが最重要課題ではないのは、非常に単純な理由からです。それは、まだ十分な数の人々が命を落としておらず、リスクに関する知識が十分ではないからです。

病的?そうかもしれません。しかし、これは正直な真実です。規制や構築基準、法律を変えるような注意は、実際に人的コストが発生したときに(例えば政府機関などから)行われる。

例えば、橋があります。何百年もの歴史を持つ土木技術者は、橋を建設する際には安全性を重視します。美しさや基本的な機能性だけではありません。すべての橋には厳しい安全規制が求められ、土木技術者も社会も高い安全性を期待するようになってきました。現在では、安全性が確保されていない橋は、危険で使い物にならないと考えられています。これは、ソフトウェアエンジニアリングの世界でも、まだまだ進化していかなければならないことなのです。

現代の例では、玩具業界を見てみましょう。戦後のベビーブームの影響で、1950年代に玩具の生産と販売が急増しました。興味深いことに、おもちゃに関連した事故による救急外来の受診件数もこの時期に増加したと報告されています。おもちゃの矢で目を負傷したり、小さなおもちゃ(大きなおもちゃから取り外した部品)を飲み込んだり、少女向けに販売されたおもちゃのオーブンは、一般家庭のオーブンよりも高い温度で加熱できるものでした。

当時の玩具業界は「ワイルドウエスト」と呼ばれていました。極端な状況下での禁止やリコールを除いて、規制はほとんどありませんでした。玩具メーカーは基本的に自由に好きな玩具を作ることができ、安全性に関する懸念は、すでにいくつかの事故が報告された後に指摘されるのが普通でした。1969年にリチャード・ニクソンが制定した「玩具安全法」のような法案が法制化されてからは、危険な玩具のテストとその後の禁止が、アメリカだけでなく世界中で標準的に行われるようになったのです。事故が起こることは確かですが、今日ではおもちゃの製造過程において「安全第一」の方針が採用されており、子供たちが危険にさらされる可能性ははるかに低くなっています。

現在、ソフトウェアセキュリティの分野では、「ワイルドウェスト」と呼ばれています。プライバシー(特に最近のGDPR)や顧客データの保護に関する明らかな法規制や、いくつかの国における違反報告の義務化を除けば、主流のビジネスやコミュニティでは、ソフトウェアに組み込まれているセキュリティのレベルについて、ほとんど何も言われず、何もされません。そのような法律でさえ、実際のソフトウェアが規制されていたり、強制的に満たさなければならないセキュリティ基準があるというよりも、企業の責任に関連しています。

私たちはそこに到達しますが、そのためにはまず破壊の道を歩む必要があるかもしれません。

ガートナー社は、2020年までにインターネットに接続された機器が84億台になると予測しています。これは、2016年から31%増加した数字です。これには、家電製品だけでなく、医療機器や産業用機器なども含まれます。これは、ハッカーにとっては非常に多くの機会となります。

ある人のペースメーカーを動かすソフトウェアが安全でないとします。ハッカーが侵入し、被害者の心臓を止めてしまう可能性があるのです。医師は、ハッキングによる暗殺を防ぐために、ディック・チェイニーのペースメーカーのWiFiを無効にしました)。)接続された電子レンジややかんが遠隔操作で爆破されたり、接続された電気自動車のブレーキが解除されたりする可能性もあります(私たちが家庭で使用しているさまざまなモノのインターネット機器も同様です)。まるでハリウッドのアクション映画のような話ですが、これらの先進的なコネクテッドテクノロジーのソフトウェアが侵入された場合、石油・ガス産業におけるサイバー攻撃の爆発的な影響と同様に、私たちは本当に潜在的な災害を手にすることになります。

私たちの生活がますますデジタルに依存していく中で、悪意のあるハッキングがもたらす悲惨な結果を未然に防ぐことができます。そのためには、開発者が安全なコーディングに興味を持ち、開発チームに強固なセキュリティ意識と文化を根付かせることから始めなければなりません。

あなたのソフトウェア革命はここから始まります。銀行業界は、従来の(退屈な)トレーニングを覆すような、実に革新的なアプローチで、不良コードとの戦いにおいてゲーミフィケーションを取り入れたトレーニングを率先して行っています。実際、オーストラリアの銀行上位6行は、現在、開発者にこの方法でセキュリティマインドを植え付けています。当社のお客様であるIAGグループが、次のレベルのtournament で行ったことをご覧ください。

弊社製品や関連するセキュアコーディングのトピックに関する情報をお送りする許可をお願いします。当社は、お客様の個人情報を細心の注意を払って取り扱い、マーケティング目的で他社に販売することは決してありません。

フォームを送信するには、「Analytics」のCookieを有効にしてください。完了したら、再度無効にしてください。