Secure Code Warrior 、私たちは常にトレーニングの範囲を拡大しています。組み込み機器の開発者やセキュリティ管理者が安全な組み込みシステムを構築できるようにするために、私たちは組み込みシステムのセキュリティの世界を利用しています。この記事では、安全な組込みシステムを構築するために、開発者やアーキテクトが知っておくべき重要なことをご紹介します。 

組み込み機器とは、マイクロプロセッサを搭載したハードウェアとソフトウェアを備えた、独立した計算ユニットのことです。一般的には、独立して、または大規模なシステムの一部として、専用の機能を実行するために使用されます。

組み込み機器・システムとは？

組込み機器は、最小限のハードウェアとソフトウェアで構成され、特定の機能を実行するようにプログラムされた、目的に応じたコンピューティングシステムです。目的に応じて、組込み機器の複雑さは様々です。 

組込みシステムでは、複雑な処理を行う必要がある場合、複数のプロセッサと様々な周辺機器を接続してハードウェアを構成します。しかし、単純な作業を行うために設計されたシステムであれば、1つのマイクロコントローラーで十分です。 

組込みシステムには、ユーザーインターフェースを持たないブラックボックスもあれば、グラフィカルで詳細なユーザーインターフェースを持つものもあります。

組み込み機器の例

組込み機器は、航空宇宙からコンピュータ、家電からヘルスケアまで、さまざまな業界で利用されています。以下はその一例です。

• エアコンの中のサーモスタット。 
• 小さな電気部品と小さなOSで構成されたフィットネストラッカーは、健康状態を記録したり同期したりするだけの機能しかありません。
• デジタルクライメートコントロールシステム。
• 飛行機の中のナビゲーションシステム。
• デジタル時計。
• GPS機器です。
• 電子レンジをはじめとする家電製品に搭載されているWi-Fiコンポーネント。
• 血圧計、心拍計。
• クラウドにデータを送信するMRI装置内のネットワークコンポーネント。

ノートパソコンは組み込み機器ですか？

短い答え。長い答え：いいえ。

組み込み機器とは、その機能を実現するために必要なソフトウェアとハードウェアのすべてを内包したものです。ノートパソコンは、さまざまなハードウェアを金属製のボディに収め、その機能を実現するために必要なすべてのソフトウェアを内包しています。

しかし、あらかじめ最低限の機能が定義されている一般的な組み込みシステムとは異なり、ノートパソコンはより汎用的で、さまざまな活動に使用することができます。

モノのインターネットの中の組み込み機器

IoTの中心となるのは、組み込みシステムです。スマートな冷蔵庫をモバイル機器で操作できるのは、組み込み機器があるからです。セキュリティシステムに組み込まれたデバイスのおかげで、1,000マイル離れたところからでもCCTVの映像を見ることができます。また、ボタンを押して車を自動運転にするときも、舞台裏では組み込み機器がすべての魔法をかけているのです。

組込みソフトウェア開発のライフサイクル

組込み機器のソフトウェア開発の典型的なライフサイクルには、次のようなステップがあります。

ステップ1：目的と要件

組込み機器には、明確で精密な機能セットがあります。そのため、開発に着手する前に、その目的や要件を明確にすることが非常に重要です。システムの詳細な設計書を作成することをお勧めします。などの質問に答えてください。

• どのような機能を持ったデバイスなのか？
• 他の機械の一部になるのか、それとも単独で機能するのか。
• デバイスにはユーザーインターフェースが必要ですか？その場合、コマンドラインで十分なのか、それともグラフィカルなUIが必要なのか？
• サイズ、コスト、消費電力など、どのような制限を設けているか？
• パフォーマンスのベンチマークはありますか？例えば、デバイスはリアルタイムで応答することが期待されているのか、それとも一定のしきい値内で応答することが期待されているのか。

ステップ2：システムアーキテクチャ

固有のシステム要件を特定したら、システムアーキテクチャを設計する準備が整いました。などの質問に答えます。

• デバイスの開発にはどのようなハードウェアコンポーネントが必要ですか？これには、回路、プロセッサチップ、マイクロコントローラ、および必要な内部および外部の周辺機器の特定が含まれます。 
• コンポーネントに必要な電力はどのくらいですか？ 
• インターネットに接続されますか？
• デバイスを他のデバイスや大きなマシンに接続するために、どのようなインターフェースを追加／開発する必要がありますか？
• 暗号化をどのように実装するのか？(アルゴリズムや鍵の保管方法などを考えます。)
• 潜在的な脆弱性、エクスプロイト、マルウェアをどのように特定し、回避するのか？

ステップ3： オペレーティングシステムの選択

オペレーティングシステムの選択は、組み込みアプリケーションの有効性を左右することが多いので、賢く選択しましょう。Windows for IoTは、グラフィックスでは高い評価を得ていますが、ハードウェアのサポートが不足しています。Embedded LinuxとAndroidは無償ですが、VxWorksとWindows for IoTはライセンス費用がかかります。 

LinuxやAndroidのようなオープンソースのシステムでは、開発者がカーネルをコントロールできますが、プロプライエタリなシステムでは、カーネルのデフォルトの機能セットがすべてです。 

OSを選択する際には、セキュリティへの影響を考慮することも重要です。脆弱性が発見された場合に備えて、セキュリティパッチはすぐにリリースされるか？最も一般的なサイバーセキュリティ攻撃に対する保護機能は組み込まれているか？

ステップ4：開発ツール

プログラミング言語やフレームワークには、さまざまな長所と短所があります。機能、スピード、信頼性などの要求に応じて、ある言語やフレームワークを選択することができます。 

しかし、最速のスループットを求めるのであれば、C/C++をお勧めします。最高のサードパーティ・ライブラリ・サポートを求めるならば、Pythonを使いましょう。

ステップ5：コード化、リファクタリング、テスト、さらにコード化

開発プラットフォームが決まれば、いよいよコーディングの開始です。組込みシステムは、ハードウェアとソフトウェアのリソースが限られた繊細なデバイスであることを忘れないでください。そのため、アプリケーションのセキュリティとパフォーマンスに関するベストプラクティスを念頭に置くことが非常に重要です。

コードレビューは、コードの最適化や潜在的なバグの発見に役立ちます。また、可能な限り厳密なテストを行う必要があります。本番環境でデバイスが遭遇する可能性のあるすべてのテストケースを網羅したリストを作成してください。

ステップ6：保守・サポート

他のアプリケーションやデバイスと同じように、組込み機器のライフサイクルは、出荷してインストールしただけでは終わりません。製品として使用されるようになると、新しいユースケースが発見され、新しい機能を追加する必要が出てきます。また、報告されたバグがあれば、新しいファームウェアのアップデートが必要になることもあります。

トップレベルの組み込み用プログラミング言語

IEEEやTIOBEのように、プログラミング言語を人気や使用率でランキングしている信頼できる組織はたくさんあります。しかし、TIOBEとIEEE Spectrumのどちらのランキングを見ても、共通のテーマがあることに気がつきます。

トップ3の言語は常にC、Python、Javaです。2021年7月のTIOBE指数では、1位がC、2位がJava、3位がPythonとなっています。IEEE Spectrumの組み込み用プログラミング言語のランキングによると、順位は以下の通り。Python、Java、Cの順になっています。

Java、C、Pythonで書かれたファームウェアの違いは？

言語によって、メモリ、OSとのやりとり、ランタイムの管理方法が異なります。例えば、Javaアプリケーションは、Java Virtual Machine（JVM）と呼ばれる特殊なランタイム環境で実行されます。 

C/C++のメモリ管理は手動ですが、JavaやPythonでは、自分でメモリ管理をする必要はなく、言語がやってくれます。さらに、C言語では自分でゴミを回収しなければなりません。つまり、動的にメモリを確保した場合、自分で明示的に解放しなければなりません。そうしないと、メモリリークになってしまいます。JavaやPythonでは、ガベージコレクションは自動的に行われます。しかし、C言語は本質的にJavaやPythonよりもはるかに高速です。

CやJava（特にC）がPythonに比べて不足している点は、サードパーティ製のライブラリが利用できることです。Pythonはライブラリのデータベースが充実しているので、開発者が特定の機能を追加するのが非常に簡単です。

総合的に見て、もしCを選択する。

• オペレーティングシステムやハードウェアとの低レベルのインターフェースが欲しい。
• 最高のパフォーマンスを発揮したい。
• 開発者はC/C++に精通しています。
• 外部・第三者のサポートをあまり必要としない。

場合はPythonで行く。

• データサイエンスや機械学習のアルゴリズムを実装したい方。
• サードパーティ製の豊富なライブラリをサポートしたい。
• 使いやすさのためにスピードを犠牲にしても構わない。
• 組込み開発の経験が少ない方
• OSやハードウェアとの低レベルのインターフェースは必要ありません。

以下のような場合にはJavaを使用します。

• あなたはウェブアプリケーションを作っています。
• C言語よりも開発しやすく、かつPythonよりもパフォーマンスが高いものを求めている。
• 外部・第三者のサポートをあまり必要としない。

C言語は、組み込み開発のトップチョイスではなくなりつつあるのでしょうか？

高レベル言語は、C言語では避けることのできない複雑な要素を抽象化することで、コーディングを容易にします。しかし、より洗練された言語やフレームワークが発売されたにもかかわらず、何十年もの間、C言語は組み込み開発のトップチョイスであり続けました。 

それは、C言語が提供するスピード、パフォーマンス、そして信頼性が、いまだに他の追随を許さないからです。PythonやJavaのエコシステムの大部分（ランタイム、言語、コンパイラなど）がC言語で書かれていることが、この言語の効率性と耐久性を物語っています。

とはいえ、Pythonのようなシンプルな言語を好む新人開発者にとって、C言語は学ぶのが難しいのは否めません。そのため、C言語の開発者コミュニティの規模は顕著に減少しています。また、AIやMLアプリケーションの開発が増加していることから、C言語よりもPythonを選択する人が増えています。

忘れてはならないのは、Pythonが組み込み用プログラミング言語のトップ 争いに加わったのはごく最近のことだということです。確かに、Pythonの採用率は今後も上昇するかもしれませんが、私たちはC言語が組み込み開発のトップチョイスであることに変わりはないと考えています。

C/C++でセキュアコーディングが重要な理由

C/C++でコードを書いていると、多くの問題が発生します。有効なデータを指していないメモリアドレスにアクセスしたり、スレッド間で誤ってデータを共有したりすると、アプリケーション全体がクラッシュしてしまいます。 

組込み機器の場合、これらの影響ははるかに大きく、機器の内部でクラッシュが発生すると、より大きな機械が機能しなくなる可能性があるからです。例えば、自動車のオートパイロット・モジュールが停止すると、車は障害物を避けることができなくなります。

C/C++アプリケーションの安全なコーディングが非常に重要である理由は以下の通りです。

• 安全でないメモリ処理（ヌルポインタ、メモリ破壊、スタックオーバーフロー、バッファオーバーフロー、ヒープオーバーフロー）により、アプリケーション全体がクラッシュする。
• ポインターはCとC++の一部です。ポインターを扱うには、細心の注意と、基本的な概念に関する深い知識が必要です。
• ガベージコレクションは手動で行われます。そのため、プログラマは動的に割り当てられたメモリを明示的に削除しなければなりません。解放されていないメモリや正しく解放されていないメモリは、メモリリークや破壊の原因となります。
• 高度なデータ構造（ハッシュテーブル、セットなど）のための標準化されたAPIがないため、開発者は車輪の再発明を余儀なくされています。

開発者が C/C++ アプリケーションの安全なコーディングのトレーニングを受けることは絶対に必要です。Secure Code Warrior では、開発者が安全な C/C++ コードを書けるようにするためのインタラクティブな課題、courses 、評価を含む、個別のlearning platform を提供しています。ここでは、一般的な概念的なトレーニングに手を加えたものではなく、言語やフレームワークに特化した内容となっています。

自動車・輸送業界への貢献をご覧ください。また、embed-focusコーディングチャレンジに挑戦して、開発者が安全な組込みアプリケーションを作成するために当社がどのように支援しているかを体験してください。

Secure Code Warrior 、私たちは常にトレーニングの範囲を拡大しています。組込み開発者やセキュリティ管理者が安全な組込みシステムを構築できるようにするために、私たちは組込みシステムのセキュリティの世界を利用しています。今回の記事では、MISRA C 2012規格と、なぜ安全な組込みシステムを構築するためにMISRA C 2012規格への準拠が必要なのかについてご紹介します。

C言語でコードを書いていると、一見正しいように見えても、本質的には間違ったものを実装してしまうことがよくあります。あなたのコードは正常にコンパイルされ、ある一定期間は正常に動作するかもしれません。しかし、同じコードでも、入力サイズやメモリが大きくなると、クラッシュしたり、未定義の動作をしたりすることがあります。例えば、特定の入力数で整数がオーバーフローしたり、特定の文字列で配列がアウトオブバウンズになったりすることがあります。

ここで役立つのが、MISRA Cコーディングスタンダードです。この規格で定められたルール、ガイドライン、ベストプラクティスにより、開発者は安全で信頼性の高い組み込み開発用のCコードを書くことができます。 

最新版のMISRA C 2012では、新たなルールの追加や既存のルールの強化、いくつかの矛盾点の解消などが行われています。まだ旧バージョンをお使いの方は、ぜひこの機会に切り替えてみてはいかがでしょうか。 

MISRA Cのコーディング規格とは何ですか？

MISRA C規格は、C言語のコードの安全性、移植性、信頼性に関するガイドラインです。最初のガイドラインは1998年に発表され、C言語に特化したものでした。 

しかし、その後、MISRAコンソーシアムは、C++のコーディングスタンダードも策定しています。MISRA Cのドキュメントには、ルール、準拠していない例、そのルールの開発に貢献した背景情報などの詳細なセクションが含まれています。

CやC++は、組み込みソフトウェアの開発に最も広く使われている言語です。その主な理由の一つは、機械語に比べて1〜2段階の抽象度しかなく、高速であることです。しかし、このことは、特にC言語では、安全なコードを書くことが難しく、エラーが起こりやすいことを意味します。例えば、JavaやC#などの高級言語では、ガベージコレクションや動的型付けなどの些細なことを気にする必要はありません。 

つまり、データ構造のためにメモリを割り当てた場合、そのデータ構造を使い終わったら、自分で手動で解放しなければなりません。そうしないと、C言語は他の言語と違ってメモリを解放してくれないので、メモリリークが発生してしまいます。

MISRA C 2004（C2）とMISRA C 2012（C3）の比較 - 何が変わったのか？

MISRA C: 2012、通称C3は、2013年4月に発売されました。C3は、何千人もの人々や組織の活動から得られた知識をもとに、新しいルールを追加し、既存のルールの説明や背景を強化し、いくつかの抜け穴を解消しています。

C3は、C99バージョンの言語をサポートするとともに、古いISO C90のルールも維持しています。C3の主な目的は、ルールの実施にかかる通常のコストを削減するとともに、重要なシステムでのC言語の使用をより安全にすることでした。これらのことから、もしまだ切り替えていないのであれば、新しい規格に切り替えるのが賢明です。

全体的に見て、最も大きな変更点は以下の通りです。

• 2004年版にあった問題点を修正。
• decidable（決定可能）なルール の数を大幅に増やします。解析ツールがそのルールへの適合性を判断するのに役立つ場合、そのルールは決定可能 である。
• ルールは「必須」「助言」「義務」に分類されます。必須ルールは、どのような状況でも絶対に破ってはいけません。必須ルールと助言ルールは、正当な理由があれば、特別なシナリオで違反することができます。
• 自動生成されたコードにルールを適用する方法に関するガイダンスを追加しました。人間が書いたコードと同じガイドラインが、ツールで生成されたコードにも適用されるとは限らないため、この点は非常に重要です。
• ユーザーの合理的な行動を禁じる、過度に一般化されたルールを削除しました。例えば、以前は、マクロは様々な困難や混乱を引き起こす可能性があるため、マクロを一切使用しないことが推奨されていました（マクロのデバッグができない、マクロには名前空間がない、など）。これにより、マクロがエレガントで安全で便利なソリューションを提供できる状況であっても、マクロを使用することができなくなりました。MISRA C: 2012では、マクロに関する新しいルールが導入され、いつでも慎重にマクロを使用できるようになりました。以下は、MISRA Cのドキュメントから抜粋したもので、関数よりもマクロの使用を推奨しています。

MISRA Cルールの運用

さて、ここからはMISRA Cのルールとその適用例を紹介していきます。

memcpy, memmove, memcmp のポインタ引数に互換性のある型を使用する。

標準ライブラリ関数のmemcpy、memmove、 memcmp は、指定されたバイト数のバイトバイバイトの移動や比較を行います。MISRA C 2012規格のルール21.15では、2つの関数パラメータは同じ型のポインタでなければならないと定められています。互換性のないポインタ型の関数呼び出しは、間違いを示す可能性があります。 

MISRAの公式コンプライアンスドキュメントから引用した次の画像を考えてみましょう。このルールは必須であり、決定可能であり、 C90とC99の両方に適用されます。

ルールの説明の後に例を示します。

ご覧のように、オブジェクトの型が異なる（uint8_tとuint16_t）ため、これは非準拠のソリューションとなります。

入力として長さを取らない文字列処理関数は、境界外のアクセスになってはならない。

String handling functions from <string.h> that don’t take the length as an input, shouldn’t result in out-of-bound access. The relevant functions are: strcat, strchr, strcmp, strcoll, strcpy, strcspn, strlen, strpbrk, strrchr, strspn, strrstr, and strtok. The rule is mandatory, meaning it can never be breached, under any circumstances. It applies to both C90 and C99, and is undecidable.

対応する例は

ご覧のように、関数f1のstrcpy は、5文字しか入らない文字列の長さを超えてコピーしてしまいます。また、strcpyを準拠して安全に使用しており、strの内容が収まる場合にのみ文字列がコピーされます。

外部からの受信データの検証

Dir 4.14では、「外部」から受信したデータの有効性をチェックすることを推奨しています。外部入力は以下のようなものがあります。

• ファイルからの読み込み。
• 環境変数から読み取る。
• 任意のユーザー入力。
• 通信チャネルを介して受信したもの。例：TCP接続やHTTP APIなど。

この指令は、必須 項目に該当し、C90とC99の両方に適用されます。その理由は、プログラムは外部ソースから受け取ったデータを制御できないため、そのデータが無効であったり、悪意のあるものであったりする可能性があるからです。例えば、プログラムはユーザが数字を入力することを期待していますが、ユーザは文字列を入力しました。入力を処理する前に、プログラムはそれが本当に数字であるかどうかを確認しなければなりません。

MISRA C 2012への切り替え方法

MISRA C 2012に切り替えると、コーディングガイドラインのドキュメントを更新する必要があります。また、静的解析ツールを使用している場合は、そのツールの新しいバージョンを入手する必要があります。ここでは、MISRA C 2012への準拠をチェックする3つのツールをご紹介します。

1. Cppcheckはオープンソースのツールで、MISRAのルールをチェックしたり、様々な種類のバグを検出することができます。
2. PC-lint Plusは、30日間の評価期間がついた有料ツールです。MISRA Cに準拠しているかどうかをチェックするだけでなく、潜在的なバグや脆弱性を特定することができます。
3. CodeSonarは、MISRA CとC++の両方に準拠しているかどうかをチェックする別のツールです。

また、MISRAに準拠しているかどうかをテストできるコンパイラもいくつかあります。ルール違反が検出された場合は、それに応じて警告や例外が発生します。例えば、Green Hills Software 社は、32ビットと64ビットの両方のアーキテクチャで、すべてのMISRA規格に対応したコンパイラを提供しています。

Secure Code Warrior を利用した MISRA C の開発者のスキルアップ

Secure Code Warrior の主力製品であるlearning platform には、開発者が安全な C/C++ コードを書くためのトレーニングに役立つ、数多くのインタラクティブな課題、courses 、および評価が用意されています。このプラットフォームのコンテンツは、フレームワークに特化しており、非常に魅力的なものとなっています。私たちのC/C++:Embedコーディングチャレンジは、MISRA C、AUTOSAR C++（MISRA C++）、IECの両方からインスピレーションを得ています。

開発者は、C/C++特有の脆弱性を発見し、さらにそのバグを修正する方法を学ぶという、個人的な学習の旅に出ることができます。この過程で、開発者は自分の進捗状況を把握して弱点を見つけたり、仲間と一緒にコーディングコンテストを楽しんだりすることもできます。当社のソリューションがどのように自動車・輸送業界を支援しているか、詳しくはこちらをご覧ください。

C/C++:Embedの課題がどれほどインタラクティブで、組込みに特化しているかを知りたいですか？learning platform でC/C++:Embed の課題をお試しください。

組込みシステムは、多くの現代技術の実現に貢献しています。自動車のアダプティブ・クルーズ・コントロールから、スマート冷蔵庫のWifiまで。サイバー攻撃の増加に伴い、これらのシステムを保護することが重要になっています。

組込み機器は、ハッキングの格好の標的となります。攻撃が成功すると、侵入者は機器が生成、受信、処理するデータにアクセスすることができます。このような攻撃は、組み込み機器を利用している大規模なシステムに深刻な影響を与える可能性があります。例えば、様々なカメラやセンサーからデータを収集するF-15戦闘機の組み込み機器が停止すると、戦闘機の防御力が著しく低下します。

この記事では、セキュアな組み込みシステムの開発を始めるために必要なものをすべて網羅しています。以下、その内容をご紹介します。 

• エンベデッド・セキュリティとは？
• 組み込み型セキュリティの導入時に直面する課題
• 組込みシステムの「安全性」とは？
• エンベデッドエコシステムでエンドツーエンドのセキュリティが重要な理由。
• いくつかの組み込みセキュリティツール。
• 一般的な組み込みソリューションに欠けているものは何ですか？
• 組込みセキュリティの未来

エンベデッド・セキュリティとは？

組み込みセキュリティは、組み込み機器のソフトウェアおよびハードウェアを保護するためのツール、プロセス、およびベストプラクティスを提供します。 

組込みシステムのハードウェアモジュールは小型であるため、さまざまなメモリやストレージの制限があります。そのため、セキュリティ対策を組み込むことは、設計上の大きな課題となります。しかし、それは困難であると同時に、時代の要請でもあります。

組み込み機器を搭載したガジェットや機械の多くは、インターネットに接続されています。これは、ハッカーがこれらの機器に不正にアクセスし、悪意のあるコードを実行できることを意味します。 

組込み機器のハッキングは、多くの場合、接続されている他のコンポーネントにも波及し、システム全体を麻痺させてしまいます。例えば、ドライバーが車を自動操縦できるようにするための組み込み機器が攻撃者によって制御されたとします。この場合、ハッカーは車をオフロードや交通機関に誘導し、大きな損害を与える可能性があります。

組込みシステムのセキュリティに関する重要な課題

組込みシステムのセキュリティは、あまり注目されていません。その理由をいくつかご紹介します。

1. 開発者の意識の低さ。

開発者は通常、安全な組込み機器を開発するためのベスト・プラクティスを知らない。これは、ポイント2の理由もありますが、組み込みアプリケーションが従来のソフトウェア・アプリケーションよりもはるかに複雑であるためです。セキュリティへの影響を理解し、すべてのユースケースに対して安全でパフォーマンスの高いコードを書くことは、制約の多いマイクロコンピュータ環境では難しいことです。 

2. 標準化されていないこと。

組込みシステムのサイバーセキュリティ基準が不足しています。しかし、自動車業界はこの状況を少しずつ変えようとしています。ここ数年、研究者たちは、スマートカーのサイバーセキュリティに関する考察をまとめた出版物を数多く発表しています。例えば、SAE J3061「Cybersecurity Guidebook for Cyber-Physical Vehicle Systems」やUNECE WP.29「Cyber Security and Software Update Processes」などが挙げられます。

3. サードパーティ製コンポーネントの使用

多くの組込み機器は、機能するためにサードパーティ製のハードウェアやソフトウェアのコンポーネントを必要とします。多くの場合、これらのコンポーネントは、セキュリティ上の欠陥や脆弱性がないかどうかテストされることなく使用されます。 

4. 最新ではないソフトウェア

古くなったファームウェアには、一般的にバグや悪用可能な脆弱性が潜んでいます。小型の組み込み機器では、ファームウェアを定期的にアップデートすることが特に難しいのですが、これを無視することはできません。

5. インターネットへの直接接続

多くの組込みシステムや機器は、インターネットに直接接続されています。そのため、ネットワーク攻撃を検知・防御するエンタープライズファイアウォールのような保護機能はありません。リソースが限られている中で、厳格なレベルのセキュリティを実現することは非常に困難です。

6. アタック・アット・スケール

組込み機器は通常、大規模に生産されます。これは、一つの脆弱性や欠陥が、時には世界中の何百万もの機器に影響を及ぼす可能性があることを意味しています。そのため、組み込みシステムへの攻撃の影響を抑えることは、非常に大きな課題となります。

組込みシステムの安全性とは？

以下では、セキュアな組み込みシステムのソフトウェアおよびハードウェアの特徴を見ていきます。

ハードウェアセキュリティのベストプラクティス

セキュアな組み込みシステムには

• 信頼できる実行環境

TEE（Trusted Execution Environment）は、セキュリティ上重要な操作をハードウェアレベルで分離することができます。例えば、ユーザー認証を分離された領域で実行することで、機密情報をより安全に保護することができます。

• 適切に分割されたハードウェアリソース

プロセッサ、キャッシュ、メモリ、ネットワーク・インターフェースなどの異なるハードウェア・コンポーネントは、適切に分離され、それぞれの機能を可能な限り独立して提供する必要があります。これにより、あるコンポーネントで発生したエラーが他のコンポーネントに伝播するのを防ぐことができます。

• 実行可能領域保護（ESP

実行可能領域保護（ESP）とは、特定のメモリ領域を実行不可能な領域としてマークすることである。マークされた領域内でコードを実行しようとすると、例外が発生します。

ソフトウェアセキュリティのベストプラクティス

組込みソフトウェアを構築する際には、以下のようなベストプラクティスを心がける必要があります。

• セキュアブートを使用する。

組込み機器の起動時には、暗号アルゴリズムを用いてブートイメージの検証が行われます。これにより、ブートシーケンスが正しいこと、ソフトウェア（ファームウェアおよびその他の関連データ）が改ざんされていないことが確認されます。 

• マイクロカーネルOSの使用

マイクロカーネルOSは、従来のOSよりもはるかに小さく、その機能のサブセットを含んでいます。カーネル空間は小さく、多くのユーザーサービス（ファイルシステム管理など）はユーザー空間 と呼ばれる別の空間に置かれています。カーネルスペースで実行されるコードや操作が少ないため、攻撃対象が大幅に減少します。

• 適切にパッケージされたソフトウェアアプリケーションの使用

すべてのソフトウェアアプリケーションは、自己完結型であり、適切にパッケージ化されていなければなりません。例えば、アプリケーションがサードパーティの依存関係を必要とする場合、その依存関係をオペレーティングシステムにグローバルにインストールすべきではありません。むしろ、アプリケーションのパッケージ/コンテナの一部であるべきです。

• すべての入力を検証する

外部の信頼できないソースから受信したすべてのデータは、重要なソフトウェアやハードウェアコンポーネントに渡される前に、適切にサニタイズおよび検証されなければなりません。 

アプリケーションが外部のAPIインテグレーションからデータを取得し、それに基づいて何らかの設定を切り替える場合、設定を変更する前に、受信したデータを厳密に検証する必要があります。

• 休止状態のデータを保護します。

組込み機器に保存されている機密性の高いソフトウェア、データ、設定ファイル、セキュアキー、パスワードなどはすべて保護する必要があります。これは通常、暗号化によって行われます。データを暗号化するための秘密鍵は、専用のセキュリティハードウェアに保存する必要があります。

セキュリティ・ピラミッド - 組込みシステムのEnd to Endセキュリティ

セキュリティが後回しにされていた時代は終わりました。非機能的な要件です。今日、セキュリティは本質的なものでなければなりません。デバイスは設計上、安全である必要があります。そのためには、組み込み環境でエンドツーエンドのセキュリティ要件を実装することが不可欠です。つまり、ハードウェアの選択時、システム・アーキテクチャの定義時、システムの設計時、そしてもちろんコードの記述時に、セキュリティについて考える必要があるのです。

ハードウェアから始める

いくらソフトウェアのセキュリティが強固であっても、ハードウェアが不足していれば攻撃を受けてしまいます。オンチップのセキュリティ技術は、セキュアブートや、暗号機能や秘密の効率的な管理を可能にします。また、ハードウェアコンポーネントによっては、システムコールの異常検知、ファイルシステムの暗号化、アクセスコントロールポリシーなど、さまざまなセキュリティ機能をOSに提供することができます。

フォールト・トレラント・システム

フォールト・トレラント・システムを構築する理由は数多くありますが、ディファレンシャル・フォールト・アナリシス攻撃を避けることはその一つに過ぎません。このような攻撃では、潜在的なハッカーがフォールト・インジェクション技術を使用して、組み込み機器にエラーを発生させようとします。しかし、このようなフォールトを検出し、防御する方法はいくつかあります。

• 最も重要な操作を再現することで、異なる出力をいつでも比較し、障害の発生を検知することができます。
• デフォルトで失敗する。複数の条件（If条件やスイッチブロック内）を処理する場合、常にデフォルトケース（他にマッチするものがない場合）で失敗します。
• ランダムな動作を導入する。重要な操作の前に、小さくてランダムな遅延を加えることで、そのタイミングを予測できないようにします。これは、ハッカーが操作のパターンを判断してタイミング攻撃を行うことが非常に困難になるため、侵入検知の鍵となります。
• 保護シールド。メーカーは、最も重要な部品をシールドで覆い、外部からの操作から保護する必要があります。
• 異常な変動を検知する。電圧や電流などの異常な変動を感知して、例外を発生させることができます。

アプリケーション...とOSの安全性を確保する

アプリケーションレベルでデバイスの防御力を高めるには

• 定期的なアップデートが可能な、テスト済みの信頼できるサードパーティ製ソフトウェアおよびハードウェアコンポーネントを選択すること。
• 組込みシステムのセキュリティに関するベスト・プラクティスを開発者に伝授する。
• マイクロカーネルのオペレーティングシステムを使用して、カーネル空間で実行される操作の数を最小限に抑えます。
• ウイルス、トロイの木馬、マルウェアなどのソフトウェア攻撃を監視し、防御する。
• 不要なサービスはすべて削除してください。ファームウェアは、絶対に必要なものだけを搭載すべきです。例えば、ファイルを転送したり、パケットをキャプチャしたりする必要がない場合は、ファイル転送プロトコルやtelnetなどのネットワークパッケージを無効にすることができます。
• SFTP、IPsec、SSL、TLS、SSH、DNSSECなどの安全なプロトコルを使用してください。

組み込みシステムのセキュリティのためのツール

ここでは、組み込みシステムのセキュリティ確保に役立つツールを網羅的に紹介します。

• バスブラスター。ハードウェアのデバッグポートと連動することができる高速デバッグプラットフォーム。
• サラエ。シリアル、SPI、I2Cなどの様々なプロトコルをデコードします。コミュニティで作られたプロトコルアナライザを使うことも、自分で作ることもできます。
• Hydrabus。オープンソースのマルチツールで、組み込みハードウェアのデバッグ、ハッキング、ペネトレーションテストに使用できるハードウェア。
• Exploit。オープンソースのInternet of Things（IoT）セキュリティテストおよびエクスプロイトフレームワークです。
• FACT (The Firmware Analysis and Comparison Tool) の略。ファームウェアのセキュリティ分析を自動化するためのフレームワーク。
• Routersploit。 組み込み機器向けのオープンソースの搾取フレームワークです。
• Firmadyne: Linuxベースの組み込みファームウェアのエミュレーションと動的解析のためのオープンソースのシステム。

現代の組み込み型セキュリティソリューションに欠けているものは何でしょうか？

組込み機器のデバッグ、エクスプロイト、ペンテストを行うための様々なソリューションがあるにもかかわらず、それらは容易には利用されていません。デバイスを物理的に保護することには重点が置かれていますが、ソフトウェア関連の攻撃から保護することには十分な努力が払われていません。最も単純で回避しやすいアプリケーション・セキュリティ・リスクや脆弱性であっても、最新の組込み機器では依然として一般的です。  

その大きな理由は、開発者の組み込みセキュリティに対する意識の低さにあります。Tripwire社が実施した調査によると、IT専門家の68％が、自社の従業員が潜在的な脆弱性について十分に認識していないと考えています。

開発者は、どのセキュリティプロトコルを選択すべきか、どのフレームワークを避けるべきか、どのハードウェアコンポーネントを分離すべきか、機密データをどのように扱うべきか、どの暗号化アルゴリズムが最も安全かをどのように判断すべきかなどを知りません。このような一般的な知識の欠如やベストプラクティスの無視は、組み込み機器上で動作するアプリケーションを危険にさらす可能性があります。

組込みセキュリティの未来

組み込みセキュリティ市場では、多くの取り組みが行われています。専門家は、2021年から2026年の間に、市場の年平均成長率（CAGR）が5.5%という数字に達する可能性があると考えています。IoTデバイスがますます増えていく中で、新たな組み込みセキュリティ標準が確立されることが期待されています。

また、ウェアラブル医療機器の導入が進むことで、信頼性の高い組み込みセキュリティソリューションの需要が高まると考えられます。機密性の高い医療データを格納して処理するためには、一定のセキュリティチェックリストに合格する必要があり、ベンダーやエンジニアがよりセキュリティに注力するようになることを期待しています。

将来的には、組み込み機器の主要なソフトウェアとハードウェアのコンポーネントをリモートで可視化、監視、制御できるソリューションも登場するかもしれません。これは、組み込みシステムのセキュリティの世界において、まさに革命的な出来事となるでしょう。

デジタル署名、データの暗号化、ファイアウォールの追加、アクセスコントロールの実装、操作のランダム化などは、最終的には限界があります。真に安全なデバイスを構築するためには、開発者が安全なコードを書くためのトレーニングを受ける必要があります。アプリケーションの設計段階で潜在的なセキュリティリスクを特定し、それを軽減することで、システムを本質的に安全な ものにすることができるのです。

Secure Code Warrior の支援方法

Secure Code Warrior の主力製品であるlearning platform には、開発者が安全な C/C++ コードを書くためのトレーニングに役立つ、数多くのインタラクティブな課題、courses 、および評価が用意されています。このプラットフォームのコンテンツは、フレームワークに特化しており、非常に魅力的なものとなっています。私たちのC/C++:Embedコーディングチャレンジは、MISRA C、AUTOSAR C++（MISRA C++）、IECの両方からインスピレーションを得ています。

開発者は、C/C++特有の脆弱性を発見し、さらにそのバグを修正する方法を学ぶという、個人的な学習の旅に出ることができます。この過程で、開発者は自分の進捗状況を把握して弱点を見つけたり、仲間と一緒にコーディングコンテストを楽しんだりすることもできます。当社のソリューションがどのように自動車・輸送業界を支援しているか、詳しくはこちらをご覧ください。

C/C++:Embedの課題がどれほどインタラクティブで、組込みに特化しているかを知りたいですか？learning platform でC/C++:Embed の課題をお試しください。

私たちは、コード解析と攻撃防御をソフトウェアに直接組み込む、最新のアプリケーションセキュリティのリーダーであるContrast Security社のLarry Maccherone氏にインタビューしました。今回は、コンテクスト学習が開発者の安全なコーディングのトレーニングにどのように役立っているかについて議論しました。

今日の開発者は、明日のサイバーセキュリティの侵害を阻止するという任務を担うようになっています。コードの脆弱性に関するトレーニングは提供されているかもしれませんが、開発者の日常業務には関係のない、興味をそそらない形式で提供されていることが多いのです。開発者は、顧客のニーズに応えるためにコードを素早く書く必要があり、トレーニングなどのビジネス目標を後回しにしてしまいます。また、トレーニングが長いプレゼンテーションや学習マニュアルのように、文脈を無視して提供されている場合は、さらに難しくなり、余分な努力をするメリットを見出すことができません。 

どうすれば開発者の日常業務を妨げることなく、また好ましいツールやワークフローから遠ざけることなく、重要なセキュリティトレーニングを提供できるでしょうか。 

その答えは簡単です。コンテクスト学習を利用して、開発者の手元にトレーニングを届けるのです。次のビデオでは、この方法が開発者にとって非常に有効である理由をラリーが説明しています。

‍
開発者がコードの問題を確認するのと同時にトレーニングの機会を組み込むことで、特定された問題や脆弱性に最も関連性の高い情報を即座に受け取ることができます。さらに、トレーニングはより小さく消化しやすい塊で提供されるため、開発者は情報を保持し、将来的に脆弱なコードの使用を防止する可能性が高くなります。ラリーが言うように、「フィードバックは学習の鍵」なのです。

要するに、開発者はより多くのことを短時間で行い、安全で高品質なコードを提供する必要があるのです。そのためには、コードの脆弱性に対応したトレーニングを織り交ぜることで、開発者のワークフローや経験を最適化し、定着率を高めることが必要です。40時間のトレーニングをどのように短縮できるか、ラリーから聞いてみましょう

‍
Secure Code Warrior は、開発チームやセキュリティチームに、文脈に沿った関連性の高い学習を提供する技術統合を提供します。

デモに興味がありますか？下記よりご予約ください。 

‍

人生において、コミュニケーションは素晴らしいものです。理解を深めたり、新しいことを学んだり、人間関係を築いたりするのに、これほど手っ取り早い方法はありません。ソフトウェアの世界でも、APIはアプリケーション同士のコミュニケーションを可能にし、機能や使い勝手を向上させる役割を果たします。このような接続性は、エンドユーザーが好むような豊かな体験を生み出すことが多く、日々の生活の中でソフトウェアに期待するようになってきています。 

しかし、現実の世界と同じように、彼らが喋りすぎると大きな問題になります。エクスペリアン社は最近、このことを痛感しました。同社のAPIの1つがサードパーティのパートナーによって使用されたことで、アメリカ国民全員のクレジットスコアが流出したのです。

この問題はすぐに修正されましたが、この脆弱性が本当に阻止されたかどうかについては疑問が残ります。あるベンダーが影響を受けたということは、他のベンダーも影響を受けている可能性が高く、安全ではないAPIを使用しているすべての人に影響を与えるシステム的なバグである可能性があります。

APIセキュリティは、ほとんどのセキュリティ専門家にとって遠い存在ではなく、戦うための知識を身につけなければならない問題です。 

どんな剣豪でも、貧弱なAPI認証を迂回することができます。

多くのデータ漏えい、侵入、セキュリティ事件の特徴は、黒幕がいなくても成功することが少ないことです。今回のSolarWinds社のように、複雑で陰湿な被害をもたらす攻撃を行うには、天才的なサイバー犯罪者のチームが必要であり、それは例外的なことなのです。 

APIが弱い認証で作られていると、むしろ簡単に悪用されてしまいます。Experian社のAPIのバグを発見したセキュリティ研究者のBill Demirkapi氏は、認証なしでアクセスできると判断しました。生年月日欄に00/00/0000を入力すると、名前や関連する住所などの公開されている情報だけで、その人のクレジットスコアにアクセスすることができたのです。これは報告されていませんが、これらの記録がスクレイピングされ、クレジット関連のデータダンプとして文脈化される可能性があることは確かです。

クリーンで機能的な認証プロセスは、どんなに小さなユースケースであっても実施されるべきです。適切に保護されていないチャッターボックスAPIは、複数のシステムへのアクセスを開放する可能性があり、責任があります。

Broken Authenticationは、OWASPのAPI脆弱性トップ10リストの第2位です。このバグを回避する方法についてはこちらをお読みください。そして、頭の中を整理した後は、私たちのプラットフォームで自分のスキルを試してみてください。

貧弱なAPIセキュリティ管理は、文化的な変化を必要とする広範な問題です。

Experian社のような企業だけに責任を問うのは公平ではありませんが、今回のAPIの流出で見られたニュアンスやセキュリティ管理の精緻さの欠如は、ITシステムやエンドポイントの一部としてAPIを利用している多くの企業にとって良い兆候ではありません。 

一般的には、APIの脆弱性を発見して修正するだけでなく、保護すべき攻撃対象の一部としてAPIを理解するためには、まだまだやるべきことがあります。APIとその構築方法を可視化することは大きな関心事であり、セキュリティのベストプラクティスの一部として要求されるべきことです。どんなに厳しいセキュリティ対策を施した組織でも、公開されたAPIが会社のセキュリティ管理外で動作してしまうと、元の木阿弥になってしまいます。APIがどこから来たのか、最終的に誰が管理しているのか（サードパーティ・ベンダーなのか、セキュリティはどの程度厳しいのか）、そしてどのような情報にアクセスしているのかを確認することは、これまで以上に重要である。 

インジェクションの脆弱性は、すべてのCISOにとっての悩みの種です。

Accellion社に対する最近の攻撃では、SQLインジェクションとOSコマンド実行を組み合わせた攻撃により、APIを操作し、社会保障番号を含む大量の機密データを取得していたことが明らかになりました。また、この攻撃を実行するためには、AccellionのFTAソフトウェアに関する広範な知識が必要であり、リバースエンジニアリングによって可能になったと考えられます。

侵入は2020年12月から2021年1月にかけて行われたため、窃盗犯が被害を及ぼすには十分な時間がありました。フォレンジック分析によると、たった1つのAPIエンドポイントで不適切にサニタイズされたユーザー入力があり、admin.plスクリプトを呼び出す際に引数を注入することが可能だったことが判明しました。

多くの有名教育機関を含む3000社以上の顧客を抱えているため、この侵害は広範囲に及ぶ可能性があります。残念なことに、これらの不正アクセスは、一般的な脆弱性を利用して可能になったものであり、その多くは、セキュリティ意識の高い開発者が本番前にコードレベルで対処することができたはずです。幾度となく繰り返されているように、大きな問題を引き起こすには、ほんの小さな窓を開けておくだけでいいのです。そして、人間主導のサイバーディフェンスの文化は、非常に人間的な問題を解決するための戦略の一部である必要があります。

あなたのAPIセキュリティのスキルを今すぐ試してみませんか？ Java Spring API, コトリンのスプリングAPI, C# (.NET) Web APIなどがあります。Learning Platform のAPIチャレンジに挑戦してみませんか？（ドロップダウンですべての言語：フレームワークをチェックできます）：

‍

チャンピオン "や "コーチ "という言葉は、スポーツ以外の分野でも関連性が高まっており、ほとんどの文脈で力強い存在感を示しています。ライフコーチ、ウェルネスコーチ、エンパシーコーチ、そして多くの組織で戴冠している「チャンピオン」がいます。「安全性のチャンピオン」や「雰囲気のチャンピオン」といった肩書きが主流となり、ビジネスの精神や文化に溶け込んでいます。困難な状況に陥ったとき、コーチやチャンピオンを味方につけたくない人はいないでしょう。 

サイバーセキュリティ業界の組織は、開発レベルでのセキュリティの普及と、ソフトウェアセキュリティの高い水準の維持を目指して、チャンピオンを活用してきた長い歴史があります。BSIMMは彼らをサテライトグループと呼び、OpenSAMMとAxwayは、コンセプトと正式なプログラムとしてセキュリティチャンピオンをサポートする先駆的なグループです。これらの取り組みは、DevSecOpsムーブメントの主な目的の1つである、ソフトウェア開発プロセスの初期段階からチームや機能を超えてセキュリティに対する責任を共有するという取り組みと交差し、それをサポートしています。

サイバーセキュリティへの取り組みで目標を達成している企業の多くは、公式のセキュリティ・チャンピオン・プログラムを導入しており、チーム間の連絡や一般的な応援、ベストプラクティスの監督など、セキュリティに関する重要な責任を、そのような役割への適性と情熱を持つ個人に与えています。 

しかし、「セキュリティ・チャンピオン」の役割が変化していることはむしろ明らかであり、先進的な企業は、チームを拡大し、主要な担当者が異なる、しかし同様に重要な機能をサポートすることで、スケーラブルなセキュリティ・ベストプラクティスの新たな高みに到達することができます。 

私たちは、セキュリティチャンピオンを再定義し、複製することで、将来を見据えたセキュリティプログラムに本当に影響を与えることができます。次のドリームチームを作る準備はできていますか？

優れたチームには、インスピレーションを与えるコーチが存在します。

ライオネル・メッシ、マイケル・ジョーダン、セリーナ・ウィリアムズなど、彼らのコーチについて知っているのは熱狂的なファンだけだと思いますが、彼らの天性のスキル、才能、そして目標に向かう意欲を支える身近な存在が、スポットライトを浴びるような大成功をもたらしているのです。 

開発者が満塁ホームランを打ったり、アルゼンチンのゴールを決めたりすることを期待している人はいませんし、ましてや開発者がセキュリティの専門家であることを期待している人はいないでしょう（結局のところ、彼らはクールな機能を作るために契約したのであって、セキュリティについて深く考えるために契約したのではありません）。しかし、優れたセキュリティ「コーチ」は、チームにおける彼らの真のチャンピオンです。

開発者側のセキュリティチャンピオンは、私たちがコーチの基本として認識しているものとはるかに一致しています。彼らは、セキュリティに情熱を持ち、知識が豊富で、開発者がセキュリティ問題を解決する際の重要な連絡先となります。彼らは、開発者が問題を修正し、失敗から学ぶのを助けるための実践的なノウハウを持っており、同時に、チームが中核的なセキュリティのベストプラクティスと価値観に沿っていることを確認する。 

AppSecのチャンピオンは立ち上がってくれますか？

AppSecサイド・チャンピオンは、セキュリティ・プログラムのパズルの中で見落とされがちなピースです。開発チームの成功には絶対に欠かせない存在であり、Cレベル、エグゼクティブスタッフと開発者の間の橋渡し役として、積極的に開発者を擁護し、脆弱性の削減、ソフトウェアの安全性、顧客の信頼と満足にプラスの影響を与えるために必要なツールを提供することができます。 

優れた AppSec チャンピオンは、企業内のセキュリティ・リーダーとして認識されており、セキュリティ・コーチを直接トレーニングするという大きな役割を担っています。 

スーパーコーチを召喚する

チャンピオンと優れたコーチは密接に関係しており、共に魔法を生み出します。既存のセキュリティ・チャンピオン・プログラムは、開発者に焦点を当てる傾向がありますが、私たちが明らかにしたように、真のチャンピオンはAppSec側であるべきです。最も情熱的でセキュリティ意識の高い開発者に、ボンネット内でのセキュア・コーディングの偉業達成を支援してもらい、他のチームを高揚させるのです。 

理想的なコーチを見つけるには、やはり従来のチャンピオンと同様のプロセスが必要です。最高のコーチは、単にセキュリティにおいて「最高」の人ではありません。最高のコーチとは、単にセキュリティの「最高」の人ではありません。たまたま、セキュアなコーディングが得意で、高品質で強化されたコードを作成することができる人でも、課外活動に興味がなかったり、才能があるにもかかわらずセキュリティにあまり興味がなかったりする場合があります。 

むしろ、以下のような人を探せば、あなたのコーチは発掘されるかもしれません。

• サイバーセキュリティに強い関心を持ち、実践的なコーディングから、最新のインシデント、ツール、クールな開発に関する最新情報の入手に努めている。
• 対人関係のスキルが高く、人を助けることが好きで、自分が頼りになる人（または専属の専門家）であると感じ、親しみやすいチームプレーヤーである。
• 開発者側の主張を積極的に行うことができる。チームを支援するために何が必要かを理解し、AppSecリエゾン（チャンピオン）と協力してニーズを満たし、相互にセキュリティ上の成果を達成することができる。

コーチのポジションにインセンティブを与える。誰を選んでもより多くの責任を負わなければならず、それに応じて彼らの仕事量を評価する必要がある。個人的な興味やキャリアアップがコーチ候補のモチベーションに影響するのは当然ですが、ゴールを蹴ることで他にどのような報酬を得られるかを考えるのは良い方法です。素晴らしい会議に参加させてもらえないか？余分な休暇を取ることはできないだろうか？courses や資格取得のための資金を提供してもらえないだろうか？最初からSDLCのセキュリティを確保するために今費やした時間とお金は、後になってからの方がはるかに節約になりますし、最悪の場合、脆弱性がライブで発見された場合もそうです。意味のある報酬を提供する方法を見つけてください。

次のレベルのセキュリティ・チャンピオン・プログラムです。

最終的には、業界として開発者をサポートし、質の高いコードが安全なコードであることを理解してもらうために、開発者をダークセキュリティ側に引き入れるための努力をしなければなりません。教育と成功を可能にするための時間と努力が行われていない場合、何かに関心を持つことは困難です。悲しいことに、セキュアコーディングの教育においては、そのような傾向があります。関連性のある実践的なスキルアップは、ピア・コーチやAppSecアドボケートと一緒に行うことで、開発チームが防御力を発揮できるようにするために必要なトリプルヒットとなります。

この記事の一部分は ヘルプネットセキュリティ.この記事は更新され、ここでシンジケートされています。

‍

私はこれまで、ソフトウェアの脆弱性を発見し、修正し、議論し、破壊することにキャリアを費やしてきました。一般的なセキュリティバグの場合、90年代以降に発見されたにもかかわらず、同じ期間、修正方法が知られているにもかかわらず、ソフトウェアを苦しめ、大きな問題を引き起こし続けています。まるでグラウンドホッグデイのような感覚です。 

しかし、もうひとつ小さな問題があります。現代のサイバーセキュリティは、止まることのない猛攻撃に対抗するための現実的なアドバイスや迅速な解決策を得られていないのです。もちろん、それぞれの侵害はそれぞれの方法で異なりますし、脆弱なソフトウェアを悪用することができる攻撃ベクトルも数多くあります。実現可能な一般的なアドバイスは限られていますが、ベスト・プラクティスのアプローチは、刻々と欠陥が増えています。 

そのため、私は、サイバーセキュリティに関する解説や分析の多くが、多くの脆弱性の根本原因である「人間」に真に対処するソリューションを省いていることに疑問を感じています。Gartner社の最新版「Hype Cycle for Application Security」やForrester社の「The State of Application Security 2021」は、どちらもセキュリティ専門家にとってのバイブルであり、彼らのプログラムや潜在的な製品採用の形成に役立っていることは間違いありませんが、ほぼ完全にツールに焦点を当てています。Aberdeen社が2017年に発表したレポートでは、平均的なセキュリティ技術スタックがいかに手に負えないものになっているかが示されており、CISOはセキュリティ戦略の一環として何百もの製品を管理していましたが、4年後の今、私たちはより多くのリスク、より多くの脆弱性、そして成長する技術スタックの獣への追加に取り組んでいます。

セキュリティツールは必要不可欠なものですが、私たちはもっと視野を広げて、セキュリティ対策に必要な「人」の要素のバランスを取り戻す必要があります。    

オートメーションは未来だ。なぜサイバーセキュリティの人間的要素を気にする必要があるのか？

私たちの生活の中では、事実上すべてのものがソフトウェアによって支えられています。そして、多くの産業において、かつて存在していた人間の要素に代わって自動化が進んでいることは事実です。これは、世界のデジタル化が急速に進んでいることの表れであり、AIと機械学習は多くの組織が将来を見据えたホットな話題となっています。 

では、人間を中心としたサイバーセキュリティへのアプローチは、技術的に進歩した問題に対する時代遅れの解決策以外の何物でもないのでしょうか。最近では、5億件以上のアカウントに影響を与えたFacebookの不正アクセスを含め、過去1年間に数十億件のデータ記録が盗まれたという事実は、私たちが脅威となるアクターに真剣に対抗するために十分な努力をしていない（あるいは正しいアプローチをとっていない）ことを示しているはずです。 

サイバーセキュリティのツールは、サイバー防御のために必要な要素であり、ツールは常に必要なものです。アナリストは、企業のリスク軽減のために最新のツールを推奨しており、それは今後も変わりません。しかし、大量のコードを作成する際にコードの品質（そして定義上はセキュリティ）を管理することは難しく、ツールだけではその役割を果たすことができません。現在までのところ、単一のツールは存在しません。

• すべての言語、すべてのフレームワークで、すべての脆弱性をスキャンします。
• スピードスキャン
• 偽陽性と偽陰性による二重処理の最小化

ツールは、時間がかかり、煩雑で扱いにくいものです。しかし何よりも、ツールは問題を発見するだけで、問題を解決したり、解決策を提案するものではありません。後者の場合、セキュリティの専門家が必要となりますが、彼らは手薄で過重労働を強いられており、延々と続くペンテストやスキャンの結果の中から宝物を見つけるために、ゴミ箱をかき分けなければなりません。

IBM Cyber Security Intelligence Index Reportによると、データ漏洩の95%にヒューマンエラーが関与していることが明らかになっています。そのうちの約半分は ソフトウェアの脆弱性に直接関連しており、その多くは、SDLCの初期段階において安全なコーディングと認識をより強く遵守することができれば軽減される可能性があります。しかし、これを実現するためには、開発者のワークフローに内在させることに加えて、開発者の教育に、より鋭く、より適切に焦点を当てることが重要です。 

好むと好まざるとにかかわらず、ソフトウェア開発プロセスには人間が深く入り込んでおり、サイバーセキュリティは圧倒的に人間の問題であると言えます。ツールは、私たちのアプローチの根本的な欠陥を修正するための万能薬にはなりませんが、人間の解決策を再構築するための重要なサポート役となります。 

もっと良いツールを（たくさん）作ったらどうだろう？

セキュリティ・ツールは常に向上しています。SAST/DAST/IASTツールは大きく進歩し、スピードとインテリジェンスが向上しており、RASPは多くのアプリケーション環境で真剣に防御を検討すべきものです。ファイアウォール、シークレット・マネージャー、クラウドやネットワーク・セキュリティ・アプリケーションなど、どれも当然のことです。 

人間は常により良いツールを作ろうと努力することができますが、私たちが暮らすデジタル世界のセキュリティやデータ保護のニーズに、技術革新が追いついていないのが現状です。ツールは、ほとんどの場合、ロボットを想定して作られています。開発者やセキュリティチームがコードをスキャンしたり、監視したり、保護したりするのをサポートしてくれるかもしれませんが、インタラクションは非常に限られており、セキュリティ意識を高めたり、セキュリティの成果を上げるためのコアスキルを向上させたりするソリューションはほとんどありません。

実際、半数以上の企業が、ツールが有効に機能しているかどうかさえわからず、壊滅的なデータ侵害を回避できるかどうかも自信がないといいます。これは非常に貧しい感情であり、ツールに固執する業界では、異なるアプローチへのサポートが不足しているため、現状とその中の問題を強固にする傾向があります。 

人が主体となってセキュリティに取り組むためにはどうすればよいのでしょうか。

アプリケーションセキュリティ技術のトレンドを先取りすることが有益であることは疑いの余地がありませんし、肥大化した技術スタックのアップグレードや統合の優先順位を決めるのにも役立ちます。しかし、脆弱なソフトウェアの根本原因である私たち人間をターゲットにしないことは、サイバーセキュリティの戦線で私たちが負け続けることになります。

コードレベルのセキュリティ脆弱性の数を減らすことに真剣に取り組みたいのであれば、開発者がセキュリティに対する責任を分担して成功するための基盤を提供する必要があります。開発者には、関連性のある実践的な教育と現場でのスキルアップが必要であり、また、ワークフローを妨げたり、セキュリティの開発が面倒になったりしないような機能的なツールが必要です。理想的なのは、開発者を中心としたツールであり、開発者のユーザーエクスペリエンスを第一に考えて作られていることです。 

今日に至るまで、開発者を対象とした正式なセキュリティ認証プログラムは存在しませんが、すべての企業は、一般的な脆弱性を早期かつ頻繁に退治し、大きな技術スタックが行動を起こしてすべてを遅らせる前に、安全なコーディングスキルをベンチマークして成長させることで利益を得ることができます。 

セキュリティ意識の高い開発者のチームは、あらゆる組織にとっての隠れた宝です。しかし、価値のあるものは何でもそうですが、効果的なドリームチームを導入するには時間と努力が必要です。開発者がセキュリティに関心を持ち、安全なコーディングがコード品質の基礎であると考えるようになるには、セキュリティを最優先するという組織全体のコミットメントが必要です。そして、チーム全体が、コードを書く際に一般的な脆弱性を排除するというポジティブなインパクトを持つようになれば、これに対抗できるツールは地球上に存在しません。

先日、当社の会長兼CEOであるピーテル・ダンヒューによるForbes Technology Councilの最初の投稿が公開され、非常に感激しました。この投稿では、開発者がより安全なコードを作成できるようにスキルアップすることが、サイバー攻撃やデータ漏洩を防ぐための鍵であることが詳しく説明されています。それだけでなく、セキュリティを意識した開発者が、より優れた、より安全なコードを、多くのIT部門が認識しているよりも早く提供することを支援できることも明らかにしています。このようなアプローチの必要性は確かにあります。最近の調査によると、サイバー攻撃は39秒に1回発生していると言われています。私たちは、Colonial Pipelineへのランサムウェアの攻撃が1回成功しただけで、その混乱を目の当たりにしましたが、大局的に見ればSolarWindsのハッキングほどの破壊力はありませんでした。 

‍

多くの一般的な脆弱性が存在し続けているのは、劣悪なコーディングパターンを、同じ機能をより安全でセキュアな方法で実現する優れた方法に置き換える方法を、誰も開発者に教えようとしなかったからです。また、開発の後半にソフトウェアを修正することの影響は、費やした時間とデプロイメントの遅れの両方において、非常に大きなコストとなります。特に、攻撃者がこれまで発見されていなかった脆弱性を悪用した後に、デプロイされた後にコードを修正することは、時には数百万ドルの費用がかかります。さらに、大規模なセキュリティ侵害が発生した場合の企業の評判への影響も考慮に入れていません。

セキュリティ教育を受けた開発者は、自然と優れたプログラマーになります。確かに、CISOはすぐにセキュリティツールをやめるべきではありません。しかし、包括的で予防的なセキュリティアプローチをトップから主導することで、CISOは企業の最大のリソースである人的要因を活用することができます。特に、ソフトウェア開発ライフサイクルの最初の段階から安全なコーディングを行うことが重要です。

そのために、押さえておきたい上位3つの戦略をご紹介します。

1.積極的に行動しよう

企業が陥りがちなのは、独自のビジョンを描き、それを追求するのではなく、競合他社の動きに対応するといった「リアクティブ（反応的）」な姿勢です。また、コードのセキュリティ脆弱性に関しても、多くの企業がこのようなアプローチをとっており、サイバーセキュリティに真剣に取り組まなければならないのは、侵入が成功した結果としてのみです。残念ながら、その時点では、罰金、復旧費用、顧客離れ、ブランド回復など、すべての面でダメージを受けてしまいます。行動ではなく反応というもう一つの形は、そもそも安全なコードを作ることに集中するのではなく、既存のコードの脆弱性を見つけるために自動または手動のコードスキャンに頼ることです。残念ながら、コードスキャンは完璧なソリューションではありません。つまり、コードに脆弱性があればあるほど、それをすり抜けてしまう可能性が高くなるのです。 

積極的なアプローチをとり、開発者と協力して最初から安全なコードを作成することによってのみ、コードの脆弱性がユーザーに公開される可能性を大幅に低減するソフトウェア開発ライフサイクルを確立することができます。

2.アップスキル、オーバーキルは禁物

安全なコードを作成するために必要な知識を開発者に提供することを決めたら、その方法を賢く選ぶ必要があります。コーディングを中断させるような社内トレーニング・ワークショップは、開発者と管理者の両方を苛立たせる。夜間や週末に参加しなければならないオフサイトのcourses は、さらに人気がありません。最良のアプローチは、コーディングスキルを段階的に向上させることであり、コーディングプロセスの中で段階的に関連情報を提供することです。 

3.仮定ではなく、インセンティブを与える

開発者は、セキュリティ・アップスキリングを罰や全くの徒労と考えてはならない。管理者は、安全なコードが会社の成功に果たす重要な役割を伝えることで、開発者を鼓舞しなければならない。また、安全なコードを書く人は会社にとってより価値があり、将来的にはキャリアの機会が広がることを伝えることも重要である。

バイデン政権の迎えた 大統領令は、サイバーセキュリティへの注目度を高め、"開発者やサプライヤー自身のセキュリティ対策を評価する基準を盛り込み、安全な対策への適合を証明するための革新的なツールや方法を特定する "必要があるとしています。しかし、ツールは不可欠ですが、それだけでは十分ではありません。どんなツールでも、個人が何らかの方法で、導入されたシステムやツールを無視したり、誤解したり、悪用したり、その他の方法で回避する能力を完全に排除することはできません。企業のセキュリティを最大限に高めるためには、CISOはヒューマンファクターを活用し、開発者が進んでセキュリティを推進し、実践するように働きかける必要があります。

バイデン政権が最近発表したサイバーセキュリティに関する大統領令は、セキュリティ業界でも話題になっています。特に、開発者に対して、日々の業務の中で安全なコーディングのベストプラクティスを適用することの重要性を訴えようとしている開発者は多いようです。今回初めて、連邦政府で使用されているソフトウェアに携わる開発者は、進化した新しいガイドラインを遵守するだけでなく、セキュリティスキルを確認する必要があります。

これは、サイバー防御の現状に前向きな変化をもたらし、開発者の適切なスキルアップがようやく話題に上るようになったことを意味します。これらの政策は米国政府を中心としたものですが、開発者からソフトウェアのサプライチェーンのセキュリティ分析に至るまで、現在のセキュリティ基準に取り組み、改善するためのグローバルな機会を提供しています。 

NISTは最近、HIPAA法などの次の更新に向けてパブリックコメントを募集していますが、これは当社にとって、当社の専門知識を結集して、より安全で、より効果的な、人間主導のサイバーセキュリティへのアプローチを伝えるためのポジショニング・ペーパーを作成する絶好の機会となりました。 

専門家を中心とした組織である当社には、幸いなことに、博士号候補のピーテル・デ・クレマー氏や、技術諮問委員会の一員であるブライアン・チェス博士など、最も熱心で実績のあるサイバーセキュリティの専門家が働いています。私たち3人は、開発者のスキルアップとソフトウェア作成段階での予防的なセキュリティに対する私たちのアプローチが、今後のサイバーセキュリティ基準にプラスの影響を与える可能性があることを訴え、NISTにポジショニング・ペーパーを正式に提出するために頭を悩ませました。 

開発者のために用意された安全な開発パスウェイ

脆弱性スキャンツールやモニタリングなどのセキュリティ自動化はますます普及しており、新しい大統領令やNISTのガイドラインにも取り上げられています。しかし、歴史的に見ても現在においても、特にスキャニングツールは、ソフトウェアの脆弱性を確実に発見し、その効率を高めていますが、それだけでは脆弱性を減らすことはできず、むしろ最初からセキュリティを向上させることはできません。 

煩雑な技術スタックが開発者のワークフローを妨げていることは、開発者がセキュリティに関心を持たず、ネガティブなイメージを抱く根本的な理由の1つです。しかし、もし開発者が、技術だけでなく、言語、フレームワーク、プロジェクト固有の開発目的に合わせてカスタマイズされた、安全な開発のための道筋を持つことができれば、開発者の生産性をできるだけ妨げずに、最初から開発プロセスにセキュリティを組み込むことができ、時間の経過とともに一般的な脆弱性が大幅に減少するという理想的な結果を得ることができるでしょう。 

NISTのポジショニング・ペーパーの全文をご覧になりたい方は、今すぐダウンロードしてください。

安全な開発手法の認証フレームワーク。現在の）ミッシングリンク

現在までのところ、セキュアコーディングのスキルやベストプラクティスを検証するための正式な認証はありません。これは長い間、業界の見落としとなっていましたが、今後のサイバー防御の向上と安全な開発のためには必要不可欠であるというのが私たちの立場です。 

開発者を対象としたさまざまなセキュリティトレーニングが行われていることは承知していますが、大規模なデータ漏洩やサイバー攻撃、質の低いコードが大量に出回っていることを考えると、セキュリティを意識した開発者は生まれておらず、悪化の一途をたどる問題に対処するための知識も与えられていないのではないでしょうか。 

開発者のアップスキリングには、日々の業務に関連した、文脈に沿った、一口サイズの（しかも頻繁に）ツールや教育が必要であり、実際に使用する言語やフレームワークの既存の知識を基にしたものでなければなりません。一般的なトレーニングでは十分ではなく、このことを法律やNISTなどの業界団体で明確にする必要があります。 

NICEフレームワークは、機能する方法論を積極的に使用し、開発者とその作業に最も関心と関連性のある包括的な認証ガイドラインを構築するのに適しています。認知された制度的なフレームワークに合わせることで、本当に効果のある手法を標準化し、組織が従うべきより具体的な道筋を示すことができます。

NISTの第2回目のポジショニング・ペーパーの全文を読むには、今すぐダウンロードしてください。

サイバーセキュリティにおける人間の要素は忘れられがちです。私たちは、再発しやすい共通の脆弱性のような人間的な問題に対する人間的な解決策に取り組むべき時です。

開発者を認証する準備はできていますか？このサイトをご覧になれば、すぐに分かります。当社の Learning Platform 今日は