優れたマイクロ波が劣化するとき:なぜ組み込みシステムセキュリティが開発者にとって次のボス戦なのか
ポップカルチャーには、反逆した人工知能やロボット、人間である主人に対して反旗を翻す機器に関する描写が数多く存在する。これらはSF的な娯楽や空想に強く彩られているが、モノのインターネットや家庭内のネットワーク機器がますます重要性を増す中、サイバーセキュリティと安全性の議論も同様に重要である。 ソフトウェアは私たちの身の回りに遍在しており、革新と快適さをもたらすあらゆる高度な機能を実現するために、私たちがどれほどコード行に依存しているかを忘れがちです。ウェブベースのソフトウェア、API、モバイルデバイスと同様に、組み込みシステム内の脆弱なコードも、攻撃者に発見されれば悪用される可能性があります。
マイクロ波の軍隊が人類を奴隷化する可能性は低いとはいえ(テスラボットは少々懸念材料ではあるが)、サイバー攻撃の結果として悪意のあるサイバー事象が発生する可能性は依然として存在する。自動車、航空機、医療機器の一部は、重要なタスクを実行する際に複雑な組み込みシステムコードに依存している。 これらの機器が侵害される可能性は、単に憂慮すべきだけでなく、命に関わる危険性を秘めている。
他のあらゆる種類のソフトウェアと同様に、開発者は作成段階の初期段階でコードに直接触れる最初のグループに属します。そして他のあらゆる種類のソフトウェアと同様に、これは悪意のある、頻繁に発生するセキュリティ上の脆弱性の温床となり得ます。これらの脆弱性は、製品が市場に投入される前に発見されない可能性があります。
開発者はセキュリティの専門家ではなく、企業も彼らがその役割を担うことを期待すべきではありません。しかし、彼らには関連する脅威に対処するためのより強力な手段を提供することが可能です。技術要件が絶えず進化する中、組み込みシステム(通常CおよびC++で記述)の使用はますます増加しています。 したがって、この環境におけるツールに関する開発者向けの専門的なセキュリティトレーニングは不可欠である。
爆発するエアフライヤー、悪党の乗り物…私たちは格好の餌食なのか?
確かに、安全な開発全般に関するいくつかの標準や規制は存在しますが、私たちを守るためには、あらゆる種類のソフトウェアセキュリティに向けて、はるかに精密で重要な進歩を遂げる必要があります。 誰かがエアフライヤーをハッキングすることで引き起こされる可能性のある問題を想像するのは荒唐無稽に思えるかもしれないが、実際にリモートコード実行攻撃(攻撃者が温度を危険なレベルまで上昇させることを可能にする)や、車両乗っ取りにつながるセキュリティ脆弱性といった形で発生している。
特に自動車は、複数の組み込みシステムを搭載しているため非常に複雑です。各システムは自動ワイパーからエンジンやブレーキ機能に至るまで、微細な機能を担当しています。 ネットワーク化された車両は、Wi-Fi、Bluetooth、GPSなど増え続ける通信技術と密接に連携し、数多くの攻撃ベクトルに晒される複雑なデジタルインフラを形成している。そして2023年までに、世界中で7,630万台のネットワーク化された車両が道路を走行すると予測されており、真の安全性を確保するためには、強固な防御基盤の構築が不可欠である。
MISRAは、組み込みシステムの脅威に積極的に取り組み、組み込みシステムに関連するコードの安全性、移植性、信頼性を促進するためのガイドラインを開発した重要な組織です。これらのガイドラインは、あらゆる企業が組み込みシステムプロジェクトで目指すべき基準の重要な構成要素です。
しかし、この最高水準に準拠したコードを作成・実行するには、セキュリティ意識はもちろんのこと、ツールに精通した組み込みシステムエンジニアが必要です。
なぜ組み込みシステムのセキュリティ強化はそれほど特異的なのか?
プログラミング言語CとC++は現代の基準では老齢と言えども、依然として頻繁に使用されている。これらは組込みシステムのコード基盤の機能する中核を形成し、ネットワーク接続デバイス世界の一部としてEmbedded C/C++は輝かしい現代的な存在感を示している。
これらの言語はかなり古いルーツを持ち、インジェクションエラーやバッファオーバーフローといった頻出問題に対するセキュリティ挙動も類似しているものの、組み込みシステムの脆弱性を真に効果的に修正するには、開発者が実際に動作する環境を模倣したコードで実践的な経験を積む必要がある。 一般的なセキュリティ慣行に関する汎用的なCトレーニングは、組み込みCの文脈で作業するための追加の時間と注意を払う場合ほど、効果的かつ印象的なものにはなりません。
現代の車両には12個から100個以上の組み込みシステムが搭載されているため、開発者はIDE内で注意すべき点と問題解決方法を正確に習得することが不可欠です。
組み込みシステムの保護は、基礎レベルから全関係者の責任である
多くの組織における現状は、少なくとも開発者の責任範囲においては、開発の速度がセキュリティよりも重視されていることです。開発者は安全なコードを作成する能力で評価されることは稀ですが、優れた機能を迅速に開発することが黄金律となっています。ソフトウェアへの需要は増加の一途をたどる一方、この文化は脆弱性やそれに起因するサイバー攻撃との絶望的な戦いを予感させるものとなっています。
開発者が訓練を受けていないのは彼らの責任ではなく、これはアプリセキュリティチームが埋めるべき空白であり、開発者コミュニティ全体に適切でアクセス可能な(評価可能なことは言うまでもなく)継続教育プログラムを推奨することで対応すべきである。 ソフトウェア開発プロジェクトの開始時点から、セキュリティを最優先事項とすべきであり、特に開発者を含む全員が、自らの役割を果たすために必要な知識を理解していなければならない。
組み込みシステムにおけるセキュリティ問題の実践的対応
バッファオーバーフロー、インジェクションエラー、ビジネスロジックの欠陥は、いずれも組み込みシステム開発におけるよくある落とし穴です。単一の車両やデバイス内のマイクロコントローラーの迷路の奥深くに潜んでいる場合、安全性の観点から大惨事を招く可能性があります。
バッファオーバーフローは特に頻発する問題であり、以前取り上げたエアフライヤーの脆弱性(リモートからのコード実行を可能にした)にどのように関与したかについて詳しく知りたい場合は、CVE-2020-28592に関するこのレポートを参照してください。
今こそ、実際の組み込みC/C++コードにおけるバッファオーバーフローの脆弱性を実践する時です。この課題に挑戦し、この厄介なエラーを引き起こした不良なコーディングパターンを特定・識別・修正できるか試してみてください:
.png)
お役に立てましたか?精密かつ効果的な組み込みシステムセキュリティトレーニングについては、www.securecodewarrior.comをご覧ください。
ウェブベースのソフトウェア、API、モバイルデバイスと同様に、攻撃者が実環境で脆弱なコードを発見した場合、組み込みシステムにおいてもそのコードが悪用される可能性があります。
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warrior 、ソフトウェア開発サイクル全体を通じてコードの安全性を確保し、サイバーセキュリティを最優先とする文化を構築するため、貴社をSecure Code Warrior 。アプリセキュリティ管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、当社が貴社のビジネスにおける不安全なコードに関連するリスクの低減を支援します。
デモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
ポップカルチャーには、反逆した人工知能やロボット、人間である主人に対して反旗を翻す機器に関する描写が数多く存在する。これらはSF的な娯楽や空想に強く彩られているが、モノのインターネットや家庭内のネットワーク機器がますます重要性を増す中、サイバーセキュリティと安全性の議論も同様に重要である。 ソフトウェアは私たちの身の回りに遍在しており、革新と快適さをもたらすあらゆる高度な機能を実現するために、私たちがどれほどコード行に依存しているかを忘れがちです。ウェブベースのソフトウェア、API、モバイルデバイスと同様に、組み込みシステム内の脆弱なコードも、攻撃者に発見されれば悪用される可能性があります。
マイクロ波の軍隊が人類を奴隷化する可能性は低いとはいえ(テスラボットは少々懸念材料ではあるが)、サイバー攻撃の結果として悪意のあるサイバー事象が発生する可能性は依然として存在する。自動車、航空機、医療機器の一部は、重要なタスクを実行する際に複雑な組み込みシステムコードに依存している。 これらの機器が侵害される可能性は、単に憂慮すべきだけでなく、命に関わる危険性を秘めている。
他のあらゆる種類のソフトウェアと同様に、開発者は作成段階の初期段階でコードに直接触れる最初のグループに属します。そして他のあらゆる種類のソフトウェアと同様に、これは悪意のある、頻繁に発生するセキュリティ上の脆弱性の温床となり得ます。これらの脆弱性は、製品が市場に投入される前に発見されない可能性があります。
開発者はセキュリティの専門家ではなく、企業も彼らがその役割を担うことを期待すべきではありません。しかし、彼らには関連する脅威に対処するためのより強力な手段を提供することが可能です。技術要件が絶えず進化する中、組み込みシステム(通常CおよびC++で記述)の使用はますます増加しています。 したがって、この環境におけるツールに関する開発者向けの専門的なセキュリティトレーニングは不可欠である。
爆発するエアフライヤー、悪党の乗り物…私たちは格好の餌食なのか?
確かに、安全な開発全般に関するいくつかの標準や規制は存在しますが、私たちを守るためには、あらゆる種類のソフトウェアセキュリティに向けて、はるかに精密で重要な進歩を遂げる必要があります。 誰かがエアフライヤーをハッキングすることで引き起こされる可能性のある問題を想像するのは荒唐無稽に思えるかもしれないが、実際にリモートコード実行攻撃(攻撃者が温度を危険なレベルまで上昇させることを可能にする)や、車両乗っ取りにつながるセキュリティ脆弱性といった形で発生している。
特に自動車は、複数の組み込みシステムを搭載しているため非常に複雑です。各システムは自動ワイパーからエンジンやブレーキ機能に至るまで、微細な機能を担当しています。 ネットワーク化された車両は、Wi-Fi、Bluetooth、GPSなど増え続ける通信技術と密接に連携し、数多くの攻撃ベクトルに晒される複雑なデジタルインフラを形成している。そして2023年までに、世界中で7,630万台のネットワーク化された車両が道路を走行すると予測されており、真の安全性を確保するためには、強固な防御基盤の構築が不可欠である。
MISRAは、組み込みシステムの脅威に積極的に取り組み、組み込みシステムに関連するコードの安全性、移植性、信頼性を促進するためのガイドラインを開発した重要な組織です。これらのガイドラインは、あらゆる企業が組み込みシステムプロジェクトで目指すべき基準の重要な構成要素です。
しかし、この最高水準に準拠したコードを作成・実行するには、セキュリティ意識はもちろんのこと、ツールに精通した組み込みシステムエンジニアが必要です。
なぜ組み込みシステムのセキュリティ強化はそれほど特異的なのか?
プログラミング言語CとC++は現代の基準では老齢と言えども、依然として頻繁に使用されている。これらは組込みシステムのコード基盤の機能する中核を形成し、ネットワーク接続デバイス世界の一部としてEmbedded C/C++は輝かしい現代的な存在感を示している。
これらの言語はかなり古いルーツを持ち、インジェクションエラーやバッファオーバーフローといった頻出問題に対するセキュリティ挙動も類似しているものの、組み込みシステムの脆弱性を真に効果的に修正するには、開発者が実際に動作する環境を模倣したコードで実践的な経験を積む必要がある。 一般的なセキュリティ慣行に関する汎用的なCトレーニングは、組み込みCの文脈で作業するための追加の時間と注意を払う場合ほど、効果的かつ印象的なものにはなりません。
現代の車両には12個から100個以上の組み込みシステムが搭載されているため、開発者はIDE内で注意すべき点と問題解決方法を正確に習得することが不可欠です。
組み込みシステムの保護は、基礎レベルから全関係者の責任である
多くの組織における現状は、少なくとも開発者の責任範囲においては、開発の速度がセキュリティよりも重視されていることです。開発者は安全なコードを作成する能力で評価されることは稀ですが、優れた機能を迅速に開発することが黄金律となっています。ソフトウェアへの需要は増加の一途をたどる一方、この文化は脆弱性やそれに起因するサイバー攻撃との絶望的な戦いを予感させるものとなっています。
開発者が訓練を受けていないのは彼らの責任ではなく、これはアプリセキュリティチームが埋めるべき空白であり、開発者コミュニティ全体に適切でアクセス可能な(評価可能なことは言うまでもなく)継続教育プログラムを推奨することで対応すべきである。 ソフトウェア開発プロジェクトの開始時点から、セキュリティを最優先事項とすべきであり、特に開発者を含む全員が、自らの役割を果たすために必要な知識を理解していなければならない。
組み込みシステムにおけるセキュリティ問題の実践的対応
バッファオーバーフロー、インジェクションエラー、ビジネスロジックの欠陥は、いずれも組み込みシステム開発におけるよくある落とし穴です。単一の車両やデバイス内のマイクロコントローラーの迷路の奥深くに潜んでいる場合、安全性の観点から大惨事を招く可能性があります。
バッファオーバーフローは特に頻発する問題であり、以前取り上げたエアフライヤーの脆弱性(リモートからのコード実行を可能にした)にどのように関与したかについて詳しく知りたい場合は、CVE-2020-28592に関するこのレポートを参照してください。
今こそ、実際の組み込みC/C++コードにおけるバッファオーバーフローの脆弱性を実践する時です。この課題に挑戦し、この厄介なエラーを引き起こした不良なコーディングパターンを特定・識別・修正できるか試してみてください:
お役に立てましたか?精密かつ効果的な組み込みシステムセキュリティトレーニングについては、www.securecodewarrior.comをご覧ください。
ポップカルチャーには、反逆した人工知能やロボット、人間である主人に対して反旗を翻す機器に関する描写が数多く存在する。これらはSF的な娯楽や空想に強く彩られているが、モノのインターネットや家庭内のネットワーク機器がますます重要性を増す中、サイバーセキュリティと安全性の議論も同様に重要である。 ソフトウェアは私たちの身の回りに遍在しており、革新と快適さをもたらすあらゆる高度な機能を実現するために、私たちがどれほどコード行に依存しているかを忘れがちです。ウェブベースのソフトウェア、API、モバイルデバイスと同様に、組み込みシステム内の脆弱なコードも、攻撃者に発見されれば悪用される可能性があります。
マイクロ波の軍隊が人類を奴隷化する可能性は低いとはいえ(テスラボットは少々懸念材料ではあるが)、サイバー攻撃の結果として悪意のあるサイバー事象が発生する可能性は依然として存在する。自動車、航空機、医療機器の一部は、重要なタスクを実行する際に複雑な組み込みシステムコードに依存している。 これらの機器が侵害される可能性は、単に憂慮すべきだけでなく、命に関わる危険性を秘めている。
他のあらゆる種類のソフトウェアと同様に、開発者は作成段階の初期段階でコードに直接触れる最初のグループに属します。そして他のあらゆる種類のソフトウェアと同様に、これは悪意のある、頻繁に発生するセキュリティ上の脆弱性の温床となり得ます。これらの脆弱性は、製品が市場に投入される前に発見されない可能性があります。
開発者はセキュリティの専門家ではなく、企業も彼らがその役割を担うことを期待すべきではありません。しかし、彼らには関連する脅威に対処するためのより強力な手段を提供することが可能です。技術要件が絶えず進化する中、組み込みシステム(通常CおよびC++で記述)の使用はますます増加しています。 したがって、この環境におけるツールに関する開発者向けの専門的なセキュリティトレーニングは不可欠である。
爆発するエアフライヤー、悪党の乗り物…私たちは格好の餌食なのか?
確かに、安全な開発全般に関するいくつかの標準や規制は存在しますが、私たちを守るためには、あらゆる種類のソフトウェアセキュリティに向けて、はるかに精密で重要な進歩を遂げる必要があります。 誰かがエアフライヤーをハッキングすることで引き起こされる可能性のある問題を想像するのは荒唐無稽に思えるかもしれないが、実際にリモートコード実行攻撃(攻撃者が温度を危険なレベルまで上昇させることを可能にする)や、車両乗っ取りにつながるセキュリティ脆弱性といった形で発生している。
特に自動車は、複数の組み込みシステムを搭載しているため非常に複雑です。各システムは自動ワイパーからエンジンやブレーキ機能に至るまで、微細な機能を担当しています。 ネットワーク化された車両は、Wi-Fi、Bluetooth、GPSなど増え続ける通信技術と密接に連携し、数多くの攻撃ベクトルに晒される複雑なデジタルインフラを形成している。そして2023年までに、世界中で7,630万台のネットワーク化された車両が道路を走行すると予測されており、真の安全性を確保するためには、強固な防御基盤の構築が不可欠である。
MISRAは、組み込みシステムの脅威に積極的に取り組み、組み込みシステムに関連するコードの安全性、移植性、信頼性を促進するためのガイドラインを開発した重要な組織です。これらのガイドラインは、あらゆる企業が組み込みシステムプロジェクトで目指すべき基準の重要な構成要素です。
しかし、この最高水準に準拠したコードを作成・実行するには、セキュリティ意識はもちろんのこと、ツールに精通した組み込みシステムエンジニアが必要です。
なぜ組み込みシステムのセキュリティ強化はそれほど特異的なのか?
プログラミング言語CとC++は現代の基準では老齢と言えども、依然として頻繁に使用されている。これらは組込みシステムのコード基盤の機能する中核を形成し、ネットワーク接続デバイス世界の一部としてEmbedded C/C++は輝かしい現代的な存在感を示している。
これらの言語はかなり古いルーツを持ち、インジェクションエラーやバッファオーバーフローといった頻出問題に対するセキュリティ挙動も類似しているものの、組み込みシステムの脆弱性を真に効果的に修正するには、開発者が実際に動作する環境を模倣したコードで実践的な経験を積む必要がある。 一般的なセキュリティ慣行に関する汎用的なCトレーニングは、組み込みCの文脈で作業するための追加の時間と注意を払う場合ほど、効果的かつ印象的なものにはなりません。
現代の車両には12個から100個以上の組み込みシステムが搭載されているため、開発者はIDE内で注意すべき点と問題解決方法を正確に習得することが不可欠です。
組み込みシステムの保護は、基礎レベルから全関係者の責任である
多くの組織における現状は、少なくとも開発者の責任範囲においては、開発の速度がセキュリティよりも重視されていることです。開発者は安全なコードを作成する能力で評価されることは稀ですが、優れた機能を迅速に開発することが黄金律となっています。ソフトウェアへの需要は増加の一途をたどる一方、この文化は脆弱性やそれに起因するサイバー攻撃との絶望的な戦いを予感させるものとなっています。
開発者が訓練を受けていないのは彼らの責任ではなく、これはアプリセキュリティチームが埋めるべき空白であり、開発者コミュニティ全体に適切でアクセス可能な(評価可能なことは言うまでもなく)継続教育プログラムを推奨することで対応すべきである。 ソフトウェア開発プロジェクトの開始時点から、セキュリティを最優先事項とすべきであり、特に開発者を含む全員が、自らの役割を果たすために必要な知識を理解していなければならない。
組み込みシステムにおけるセキュリティ問題の実践的対応
バッファオーバーフロー、インジェクションエラー、ビジネスロジックの欠陥は、いずれも組み込みシステム開発におけるよくある落とし穴です。単一の車両やデバイス内のマイクロコントローラーの迷路の奥深くに潜んでいる場合、安全性の観点から大惨事を招く可能性があります。
バッファオーバーフローは特に頻発する問題であり、以前取り上げたエアフライヤーの脆弱性(リモートからのコード実行を可能にした)にどのように関与したかについて詳しく知りたい場合は、CVE-2020-28592に関するこのレポートを参照してください。
今こそ、実際の組み込みC/C++コードにおけるバッファオーバーフローの脆弱性を実践する時です。この課題に挑戦し、この厄介なエラーを引き起こした不良なコーディングパターンを特定・識別・修正できるか試してみてください:
お役に立てましたか?精密かつ効果的な組み込みシステムセキュリティトレーニングについては、www.securecodewarrior.comをご覧ください。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior 、ソフトウェア開発サイクル全体を通じてコードの安全性を確保し、サイバーセキュリティを最優先とする文化を構築するため、貴社をSecure Code Warrior 。アプリセキュリティ管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、当社が貴社のビジネスにおける不安全なコードに関連するリスクの低減を支援します。
レポートを見るデモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
ポップカルチャーには、反逆した人工知能やロボット、人間である主人に対して反旗を翻す機器に関する描写が数多く存在する。これらはSF的な娯楽や空想に強く彩られているが、モノのインターネットや家庭内のネットワーク機器がますます重要性を増す中、サイバーセキュリティと安全性の議論も同様に重要である。 ソフトウェアは私たちの身の回りに遍在しており、革新と快適さをもたらすあらゆる高度な機能を実現するために、私たちがどれほどコード行に依存しているかを忘れがちです。ウェブベースのソフトウェア、API、モバイルデバイスと同様に、組み込みシステム内の脆弱なコードも、攻撃者に発見されれば悪用される可能性があります。
マイクロ波の軍隊が人類を奴隷化する可能性は低いとはいえ(テスラボットは少々懸念材料ではあるが)、サイバー攻撃の結果として悪意のあるサイバー事象が発生する可能性は依然として存在する。自動車、航空機、医療機器の一部は、重要なタスクを実行する際に複雑な組み込みシステムコードに依存している。 これらの機器が侵害される可能性は、単に憂慮すべきだけでなく、命に関わる危険性を秘めている。
他のあらゆる種類のソフトウェアと同様に、開発者は作成段階の初期段階でコードに直接触れる最初のグループに属します。そして他のあらゆる種類のソフトウェアと同様に、これは悪意のある、頻繁に発生するセキュリティ上の脆弱性の温床となり得ます。これらの脆弱性は、製品が市場に投入される前に発見されない可能性があります。
開発者はセキュリティの専門家ではなく、企業も彼らがその役割を担うことを期待すべきではありません。しかし、彼らには関連する脅威に対処するためのより強力な手段を提供することが可能です。技術要件が絶えず進化する中、組み込みシステム(通常CおよびC++で記述)の使用はますます増加しています。 したがって、この環境におけるツールに関する開発者向けの専門的なセキュリティトレーニングは不可欠である。
爆発するエアフライヤー、悪党の乗り物…私たちは格好の餌食なのか?
確かに、安全な開発全般に関するいくつかの標準や規制は存在しますが、私たちを守るためには、あらゆる種類のソフトウェアセキュリティに向けて、はるかに精密で重要な進歩を遂げる必要があります。 誰かがエアフライヤーをハッキングすることで引き起こされる可能性のある問題を想像するのは荒唐無稽に思えるかもしれないが、実際にリモートコード実行攻撃(攻撃者が温度を危険なレベルまで上昇させることを可能にする)や、車両乗っ取りにつながるセキュリティ脆弱性といった形で発生している。
特に自動車は、複数の組み込みシステムを搭載しているため非常に複雑です。各システムは自動ワイパーからエンジンやブレーキ機能に至るまで、微細な機能を担当しています。 ネットワーク化された車両は、Wi-Fi、Bluetooth、GPSなど増え続ける通信技術と密接に連携し、数多くの攻撃ベクトルに晒される複雑なデジタルインフラを形成している。そして2023年までに、世界中で7,630万台のネットワーク化された車両が道路を走行すると予測されており、真の安全性を確保するためには、強固な防御基盤の構築が不可欠である。
MISRAは、組み込みシステムの脅威に積極的に取り組み、組み込みシステムに関連するコードの安全性、移植性、信頼性を促進するためのガイドラインを開発した重要な組織です。これらのガイドラインは、あらゆる企業が組み込みシステムプロジェクトで目指すべき基準の重要な構成要素です。
しかし、この最高水準に準拠したコードを作成・実行するには、セキュリティ意識はもちろんのこと、ツールに精通した組み込みシステムエンジニアが必要です。
なぜ組み込みシステムのセキュリティ強化はそれほど特異的なのか?
プログラミング言語CとC++は現代の基準では老齢と言えども、依然として頻繁に使用されている。これらは組込みシステムのコード基盤の機能する中核を形成し、ネットワーク接続デバイス世界の一部としてEmbedded C/C++は輝かしい現代的な存在感を示している。
これらの言語はかなり古いルーツを持ち、インジェクションエラーやバッファオーバーフローといった頻出問題に対するセキュリティ挙動も類似しているものの、組み込みシステムの脆弱性を真に効果的に修正するには、開発者が実際に動作する環境を模倣したコードで実践的な経験を積む必要がある。 一般的なセキュリティ慣行に関する汎用的なCトレーニングは、組み込みCの文脈で作業するための追加の時間と注意を払う場合ほど、効果的かつ印象的なものにはなりません。
現代の車両には12個から100個以上の組み込みシステムが搭載されているため、開発者はIDE内で注意すべき点と問題解決方法を正確に習得することが不可欠です。
組み込みシステムの保護は、基礎レベルから全関係者の責任である
多くの組織における現状は、少なくとも開発者の責任範囲においては、開発の速度がセキュリティよりも重視されていることです。開発者は安全なコードを作成する能力で評価されることは稀ですが、優れた機能を迅速に開発することが黄金律となっています。ソフトウェアへの需要は増加の一途をたどる一方、この文化は脆弱性やそれに起因するサイバー攻撃との絶望的な戦いを予感させるものとなっています。
開発者が訓練を受けていないのは彼らの責任ではなく、これはアプリセキュリティチームが埋めるべき空白であり、開発者コミュニティ全体に適切でアクセス可能な(評価可能なことは言うまでもなく)継続教育プログラムを推奨することで対応すべきである。 ソフトウェア開発プロジェクトの開始時点から、セキュリティを最優先事項とすべきであり、特に開発者を含む全員が、自らの役割を果たすために必要な知識を理解していなければならない。
組み込みシステムにおけるセキュリティ問題の実践的対応
バッファオーバーフロー、インジェクションエラー、ビジネスロジックの欠陥は、いずれも組み込みシステム開発におけるよくある落とし穴です。単一の車両やデバイス内のマイクロコントローラーの迷路の奥深くに潜んでいる場合、安全性の観点から大惨事を招く可能性があります。
バッファオーバーフローは特に頻発する問題であり、以前取り上げたエアフライヤーの脆弱性(リモートからのコード実行を可能にした)にどのように関与したかについて詳しく知りたい場合は、CVE-2020-28592に関するこのレポートを参照してください。
今こそ、実際の組み込みC/C++コードにおけるバッファオーバーフローの脆弱性を実践する時です。この課題に挑戦し、この厄介なエラーを引き起こした不良なコーディングパターンを特定・識別・修正できるか試してみてください:
お役に立てましたか?精密かつ効果的な組み込みシステムセキュリティトレーニングについては、www.securecodewarrior.comをご覧ください。
目次
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warrior 、ソフトウェア開発サイクル全体を通じてコードの安全性を確保し、サイバーセキュリティを最優先とする文化を構築するため、貴社をSecure Code Warrior 。アプリセキュリティ管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、当社が貴社のビジネスにおける不安全なコードに関連するリスクの低減を支援します。
デモを予約するダウンロード
%20(1).avif)
.avif)
