マイクロ波が正常に動作しないとき:組み込みシステムの安全性が開発者にとって次の戦いとなる理由
ポップカルチャーには、不正なAIやロボット、人間である所有者に牙をむくデバイスに関する言及が数多く存在する。これらはSFやファンタジーに深く根ざしているが、IoTや接続デバイスが家庭で普及するにつれ、サイバーセキュリティや安全性の議論も同様に重要性を増すはずだ。 ソフトウェアは至る所に存在し、私たちがどれほど多くのタスクをコードに依存しているかを忘れがちです。それらは革新と利便性をもたらす知的な作業を遂行しています。ウェブソフトウェア、API、モバイルデバイスと同様に、組み込みシステムの脆弱なコードも、攻撃者に発見されれば悪用される可能性があります。
マイクロ波軍団が人類を支配する可能性は低い(テスラロボットは少々懸念材料だが)とはいえ、サイバー攻撃の結果として悪意のあるサイバー事象が発生する可能性は常に存在する。 自動車や航空機、医療機器の一部も、重要な機能を遂行するために複雑な組み込みシステムコードに依存している。こうした機器が侵害される可能性は、単に憂慮すべきだけでなく、命に関わる事態を招きかねない。
他のあらゆる種類のソフトウェアと同様に、開発者は開発フェーズの初期段階からコードに最初に触れる立場にある。そして他のあらゆる種類のソフトウェアと同様に、このソフトウェアもまた、製品が稼働する前に見過ごされる可能性のある、潜伏的で一般的な脆弱性の原因となり得る。
開発者はセキュリティの専門家ではなく、どの企業も彼らがその役割を担うことを期待すべきではありません。しかし、彼らには自らが直面する脅威に対処するための、はるかに強力な手段が備わっています。 組み込みシステムは、主にC言語やC++で記述されており、技術的ニーズが進化し続けるにつれて、ますます頻繁に利用されるようになるでしょう。そのため、この環境のツールに関する開発者向けの専門的なセキュリティトレーニングが不可欠です。
爆発するエアフライヤー、不正車両…私たちはカモなのか?
安全な開発に関するいくつかの基準や規制は存在するものの、私たちの安全を確保するためには、ソフトウェアセキュリティのあらゆる側面において、より精密かつ意義深い進歩を遂げる必要がある。 エアフライヤーのハッキングによる問題を考えるのは誇張に思えるかもしれないが、実際に遠隔コード実行攻撃(脅威の作者が温度を危険なレベルまで上昇させることを可能にする)として発生した。同様に、車両の乗っ取りにつながる脆弱性も存在する。
特に自動車は、自動ワイパーからエンジンやブレーキの制御に至るまで、複数のマイクロ機能を担う統合システムを多数搭載しているため、極めて複雑である。 Wi-Fi、Bluetooth、GPSといった通信技術の普及に伴い、コネクテッドカーは複雑なデジタルインフラを形成し、多様な攻撃経路に晒されている。2023年までに世界で7,630万台のコネクテッドカーが走行すると予測される中、真のセキュリティを実現するには、防御基盤の構築が不可欠である。
MISRAは、組み込みシステムに関連する脅威に対して効果的に対処する主要な組織であり、組み込みシステムにおけるコードの安全性、セキュリティ、移植性、信頼性を促進するためのガイドラインを策定しています。 これらのガイドラインは、各企業が組込みシステムプロジェクトにおいて遵守すべき基準の礎石を成しています。
しかしながら、この基準に準拠したコードを作成・実行するには、これらのツールとそのセキュリティレベルを信頼できる組込みシステムエンジニアが必要です。
なぜ組み込みシステムのセキュリティに関するスキル強化はそれほど特殊なのでしょうか?
プログラミング言語CおよびC++は、現在の基準では老朽化しているものの、依然として広く使用されている。これらは組込みシステムのコード基盤の機能的な中核を構成し、Embedded C/C++は接続されたデバイスの世界において現代的で輝かしい寿命を享受している。
これらの言語は歴史が古く、インジェクション脆弱性やバッファオーバーフローといった一般的な問題において類似の脆弱性挙動を示すものの、開発者が組み込みシステムにおけるセキュリティバグを効果的に軽減するには、実際の動作環境を模したコードで習熟することが不可欠である。 一般的なC言語のセキュリティ実践に関する汎用的なトレーニングは、組み込みC環境での作業により多くの時間と注意を割く場合と比べて、単純に効果的でも記憶に残るものでもありません。
現代の車両には12個から100個以上のシステムが統合されているため、開発者はIDE内で直接、何を探すべきか、そしてどう対処すべきかについて正確なトレーニングを受けることが不可欠です。
組み込みシステムの保護は、基礎段階から全員が責任を負うべきである
多くの組織における現状は、少なくとも開発者の責任範囲においては、開発のスピードがセキュリティを凌駕している。 開発者が安全なコードを生成する能力はほとんど評価されない一方で、優れた機能を迅速に開発することが絶対的な基準となっている。ソフトウェアへの需要は増加の一途をたどるが、この文化は脆弱性やそれらが引き起こすサイバー攻撃との戦いで敗北する運命を我々に用意している。
開発者が訓練を受けていない場合、それは開発者の責任ではなく、AppSecチームのメンバーが適切なスキル強化プログラムを推奨することで補うべき欠陥である。そのプログラムは開発者コミュニティ全体にとってアクセス可能(評価可能と言っても過言ではない)でなければならない。 ソフトウェア開発プロジェクトの開始時点から、セキュリティは最優先事項とすべきであり、特に開発者を含む全員が、自らの役割を果たすために必要な立場を与えられなければならない。
組み込みシステムのセキュリティ問題の解決
バッファオーバーフロー、インジェクション脆弱性、ビジネスロジックのバグは、組み込みシステム開発における一般的な落とし穴です。単一の車両や機器内のマイクロコントローラーの迷路の奥深くに潜むこれらの問題は、安全性の観点から壊滅的な結果をもたらす可能性があります。
バッファオーバーフローは特に頻発する問題であり、以前取り上げたエアフライヤーの脆弱性(リモートコード実行を可能にした)にこれがどのように関与したかについて詳しく知りたい場合は、CVE-2020-28592に関するこのレポートを参照してください。
実際の組み込みC/C++コードにおけるバッファオーバーフロー脆弱性について理解を深める時が来ました。この課題に取り組み、この厄介なバグの原因となる誤ったコーディングパターンを特定・修正できるか試してみてください:
.avif)
どうにかやりくりできたのか?組み込みシステムのセキュリティに関する正確で効果的なトレーニングは、www.securecodewarrior.comをご覧ください。
Matias Madou, Ph.D. est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter uniquement les problèmes de code sans aider les développeurs à écrire du code sécurisé. Cela l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau au sein de Team Awesome, il aime être sur scène pour faire des présentations lors de conférences telles que RSA Conference, BlackHat et DefCon.
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードのセキュリティを確保し、サイバーセキュリティを最優先事項とする文化を構築するために、組織をSecure Code Warrior 。アプリケーションセキュリティ担当者、開発者、情報セキュリティ責任者、その他セキュリティに関わるあらゆる方々のために、当社は組織が非セキュアなコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約する
Matias Madou, Ph.D. est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter uniquement les problèmes de code sans aider les développeurs à écrire du code sécurisé. Cela l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau au sein de Team Awesome, il aime être sur scène pour faire des présentations lors de conférences telles que RSA Conference, BlackHat et DefCon.
Matias est un chercheur et développeur qui possède plus de 15 ans d'expérience pratique en matière de sécurité logicielle. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre société Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont abouti à des produits commerciaux et possède plus de 10 brevets à son actif. Lorsqu'il n'est pas à son bureau, Matias a enseigné des cours de formation avancée sur la sécurité des applications et prend régulièrement la parole lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en génie informatique de l'université de Gand, où il a étudié la sécurité des applications par le biais de l'obfuscation de programmes pour masquer le fonctionnement interne d'une application.
ポップカルチャーには、不正なAIやロボット、人間である所有者に牙をむくデバイスに関する言及が数多く存在する。これらはSFやファンタジーに深く根ざしているが、IoTや接続デバイスが家庭で普及するにつれ、サイバーセキュリティや安全性の議論も同様に重要性を増すはずだ。 ソフトウェアは至る所に存在し、私たちがどれほど多くのタスクをコードに依存しているかを忘れがちです。それらは革新と利便性をもたらす知的な作業を遂行しています。ウェブソフトウェア、API、モバイルデバイスと同様に、組み込みシステムの脆弱なコードも、攻撃者に発見されれば悪用される可能性があります。
マイクロ波軍団が人類を支配する可能性は低い(テスラロボットは少々懸念材料だが)とはいえ、サイバー攻撃の結果として悪意のあるサイバー事象が発生する可能性は常に存在する。 自動車や航空機、医療機器の一部も、重要な機能を遂行するために複雑な組み込みシステムコードに依存している。こうした機器が侵害される可能性は、単に憂慮すべきだけでなく、命に関わる事態を招きかねない。
他のあらゆる種類のソフトウェアと同様に、開発者は開発フェーズの初期段階からコードに最初に触れる立場にある。そして他のあらゆる種類のソフトウェアと同様に、このソフトウェアもまた、製品が稼働する前に見過ごされる可能性のある、潜伏的で一般的な脆弱性の原因となり得る。
開発者はセキュリティの専門家ではなく、どの企業も彼らがその役割を担うことを期待すべきではありません。しかし、彼らには自らが直面する脅威に対処するための、はるかに強力な手段が備わっています。 組み込みシステムは、主にC言語やC++で記述されており、技術的ニーズが進化し続けるにつれて、ますます頻繁に利用されるようになるでしょう。そのため、この環境のツールに関する開発者向けの専門的なセキュリティトレーニングが不可欠です。
爆発するエアフライヤー、不正車両…私たちはカモなのか?
安全な開発に関するいくつかの基準や規制は存在するものの、私たちの安全を確保するためには、ソフトウェアセキュリティのあらゆる側面において、より精密かつ意義深い進歩を遂げる必要がある。 エアフライヤーのハッキングによる問題を考えるのは誇張に思えるかもしれないが、実際に遠隔コード実行攻撃(脅威の作者が温度を危険なレベルまで上昇させることを可能にする)として発生した。同様に、車両の乗っ取りにつながる脆弱性も存在する。
特に自動車は、自動ワイパーからエンジンやブレーキの制御に至るまで、複数のマイクロ機能を担う統合システムを多数搭載しているため、極めて複雑である。 Wi-Fi、Bluetooth、GPSといった通信技術の普及に伴い、コネクテッドカーは複雑なデジタルインフラを形成し、多様な攻撃経路に晒されている。2023年までに世界で7,630万台のコネクテッドカーが走行すると予測される中、真のセキュリティを実現するには、防御基盤の構築が不可欠である。
MISRAは、組み込みシステムに関連する脅威に対して効果的に対処する主要な組織であり、組み込みシステムにおけるコードの安全性、セキュリティ、移植性、信頼性を促進するためのガイドラインを策定しています。 これらのガイドラインは、各企業が組込みシステムプロジェクトにおいて遵守すべき基準の礎石を成しています。
しかしながら、この基準に準拠したコードを作成・実行するには、これらのツールとそのセキュリティレベルを信頼できる組込みシステムエンジニアが必要です。
なぜ組み込みシステムのセキュリティに関するスキル強化はそれほど特殊なのでしょうか?
プログラミング言語CおよびC++は、現在の基準では老朽化しているものの、依然として広く使用されている。これらは組込みシステムのコード基盤の機能的な中核を構成し、Embedded C/C++は接続されたデバイスの世界において現代的で輝かしい寿命を享受している。
これらの言語は歴史が古く、インジェクション脆弱性やバッファオーバーフローといった一般的な問題において類似の脆弱性挙動を示すものの、開発者が組み込みシステムにおけるセキュリティバグを効果的に軽減するには、実際の動作環境を模したコードで習熟することが不可欠である。 一般的なC言語のセキュリティ実践に関する汎用的なトレーニングは、組み込みC環境での作業により多くの時間と注意を割く場合と比べて、単純に効果的でも記憶に残るものでもありません。
現代の車両には12個から100個以上のシステムが統合されているため、開発者はIDE内で直接、何を探すべきか、そしてどう対処すべきかについて正確なトレーニングを受けることが不可欠です。
組み込みシステムの保護は、基礎段階から全員が責任を負うべきである
多くの組織における現状は、少なくとも開発者の責任範囲においては、開発のスピードがセキュリティを凌駕している。 開発者が安全なコードを生成する能力はほとんど評価されない一方で、優れた機能を迅速に開発することが絶対的な基準となっている。ソフトウェアへの需要は増加の一途をたどるが、この文化は脆弱性やそれらが引き起こすサイバー攻撃との戦いで敗北する運命を我々に用意している。
開発者が訓練を受けていない場合、それは開発者の責任ではなく、AppSecチームのメンバーが適切なスキル強化プログラムを推奨することで補うべき欠陥である。そのプログラムは開発者コミュニティ全体にとってアクセス可能(評価可能と言っても過言ではない)でなければならない。 ソフトウェア開発プロジェクトの開始時点から、セキュリティは最優先事項とすべきであり、特に開発者を含む全員が、自らの役割を果たすために必要な立場を与えられなければならない。
組み込みシステムのセキュリティ問題の解決
バッファオーバーフロー、インジェクション脆弱性、ビジネスロジックのバグは、組み込みシステム開発における一般的な落とし穴です。単一の車両や機器内のマイクロコントローラーの迷路の奥深くに潜むこれらの問題は、安全性の観点から壊滅的な結果をもたらす可能性があります。
バッファオーバーフローは特に頻発する問題であり、以前取り上げたエアフライヤーの脆弱性(リモートコード実行を可能にした)にこれがどのように関与したかについて詳しく知りたい場合は、CVE-2020-28592に関するこのレポートを参照してください。
実際の組み込みC/C++コードにおけるバッファオーバーフロー脆弱性について理解を深める時が来ました。この課題に取り組み、この厄介なバグの原因となる誤ったコーディングパターンを特定・修正できるか試してみてください:
どうにかやりくりできたのか?組み込みシステムのセキュリティに関する正確で効果的なトレーニングは、www.securecodewarrior.comをご覧ください。
ポップカルチャーには、不正なAIやロボット、人間である所有者に牙をむくデバイスに関する言及が数多く存在する。これらはSFやファンタジーに深く根ざしているが、IoTや接続デバイスが家庭で普及するにつれ、サイバーセキュリティや安全性の議論も同様に重要性を増すはずだ。 ソフトウェアは至る所に存在し、私たちがどれほど多くのタスクをコードに依存しているかを忘れがちです。それらは革新と利便性をもたらす知的な作業を遂行しています。ウェブソフトウェア、API、モバイルデバイスと同様に、組み込みシステムの脆弱なコードも、攻撃者に発見されれば悪用される可能性があります。
マイクロ波軍団が人類を支配する可能性は低い(テスラロボットは少々懸念材料だが)とはいえ、サイバー攻撃の結果として悪意のあるサイバー事象が発生する可能性は常に存在する。 自動車や航空機、医療機器の一部も、重要な機能を遂行するために複雑な組み込みシステムコードに依存している。こうした機器が侵害される可能性は、単に憂慮すべきだけでなく、命に関わる事態を招きかねない。
他のあらゆる種類のソフトウェアと同様に、開発者は開発フェーズの初期段階からコードに最初に触れる立場にある。そして他のあらゆる種類のソフトウェアと同様に、このソフトウェアもまた、製品が稼働する前に見過ごされる可能性のある、潜伏的で一般的な脆弱性の原因となり得る。
開発者はセキュリティの専門家ではなく、どの企業も彼らがその役割を担うことを期待すべきではありません。しかし、彼らには自らが直面する脅威に対処するための、はるかに強力な手段が備わっています。 組み込みシステムは、主にC言語やC++で記述されており、技術的ニーズが進化し続けるにつれて、ますます頻繁に利用されるようになるでしょう。そのため、この環境のツールに関する開発者向けの専門的なセキュリティトレーニングが不可欠です。
爆発するエアフライヤー、不正車両…私たちはカモなのか?
安全な開発に関するいくつかの基準や規制は存在するものの、私たちの安全を確保するためには、ソフトウェアセキュリティのあらゆる側面において、より精密かつ意義深い進歩を遂げる必要がある。 エアフライヤーのハッキングによる問題を考えるのは誇張に思えるかもしれないが、実際に遠隔コード実行攻撃(脅威の作者が温度を危険なレベルまで上昇させることを可能にする)として発生した。同様に、車両の乗っ取りにつながる脆弱性も存在する。
特に自動車は、自動ワイパーからエンジンやブレーキの制御に至るまで、複数のマイクロ機能を担う統合システムを多数搭載しているため、極めて複雑である。 Wi-Fi、Bluetooth、GPSといった通信技術の普及に伴い、コネクテッドカーは複雑なデジタルインフラを形成し、多様な攻撃経路に晒されている。2023年までに世界で7,630万台のコネクテッドカーが走行すると予測される中、真のセキュリティを実現するには、防御基盤の構築が不可欠である。
MISRAは、組み込みシステムに関連する脅威に対して効果的に対処する主要な組織であり、組み込みシステムにおけるコードの安全性、セキュリティ、移植性、信頼性を促進するためのガイドラインを策定しています。 これらのガイドラインは、各企業が組込みシステムプロジェクトにおいて遵守すべき基準の礎石を成しています。
しかしながら、この基準に準拠したコードを作成・実行するには、これらのツールとそのセキュリティレベルを信頼できる組込みシステムエンジニアが必要です。
なぜ組み込みシステムのセキュリティに関するスキル強化はそれほど特殊なのでしょうか?
プログラミング言語CおよびC++は、現在の基準では老朽化しているものの、依然として広く使用されている。これらは組込みシステムのコード基盤の機能的な中核を構成し、Embedded C/C++は接続されたデバイスの世界において現代的で輝かしい寿命を享受している。
これらの言語は歴史が古く、インジェクション脆弱性やバッファオーバーフローといった一般的な問題において類似の脆弱性挙動を示すものの、開発者が組み込みシステムにおけるセキュリティバグを効果的に軽減するには、実際の動作環境を模したコードで習熟することが不可欠である。 一般的なC言語のセキュリティ実践に関する汎用的なトレーニングは、組み込みC環境での作業により多くの時間と注意を割く場合と比べて、単純に効果的でも記憶に残るものでもありません。
現代の車両には12個から100個以上のシステムが統合されているため、開発者はIDE内で直接、何を探すべきか、そしてどう対処すべきかについて正確なトレーニングを受けることが不可欠です。
組み込みシステムの保護は、基礎段階から全員が責任を負うべきである
多くの組織における現状は、少なくとも開発者の責任範囲においては、開発のスピードがセキュリティを凌駕している。 開発者が安全なコードを生成する能力はほとんど評価されない一方で、優れた機能を迅速に開発することが絶対的な基準となっている。ソフトウェアへの需要は増加の一途をたどるが、この文化は脆弱性やそれらが引き起こすサイバー攻撃との戦いで敗北する運命を我々に用意している。
開発者が訓練を受けていない場合、それは開発者の責任ではなく、AppSecチームのメンバーが適切なスキル強化プログラムを推奨することで補うべき欠陥である。そのプログラムは開発者コミュニティ全体にとってアクセス可能(評価可能と言っても過言ではない)でなければならない。 ソフトウェア開発プロジェクトの開始時点から、セキュリティは最優先事項とすべきであり、特に開発者を含む全員が、自らの役割を果たすために必要な立場を与えられなければならない。
組み込みシステムのセキュリティ問題の解決
バッファオーバーフロー、インジェクション脆弱性、ビジネスロジックのバグは、組み込みシステム開発における一般的な落とし穴です。単一の車両や機器内のマイクロコントローラーの迷路の奥深くに潜むこれらの問題は、安全性の観点から壊滅的な結果をもたらす可能性があります。
バッファオーバーフローは特に頻発する問題であり、以前取り上げたエアフライヤーの脆弱性(リモートコード実行を可能にした)にこれがどのように関与したかについて詳しく知りたい場合は、CVE-2020-28592に関するこのレポートを参照してください。
実際の組み込みC/C++コードにおけるバッファオーバーフロー脆弱性について理解を深める時が来ました。この課題に取り組み、この厄介なバグの原因となる誤ったコーディングパターンを特定・修正できるか試してみてください:
どうにかやりくりできたのか?組み込みシステムのセキュリティに関する正確で効果的なトレーニングは、www.securecodewarrior.comをご覧ください。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードのセキュリティを確保し、サイバーセキュリティを最優先事項とする文化を構築するために、組織をSecure Code Warrior 。アプリケーションセキュリティ担当者、開発者、情報セキュリティ責任者、その他セキュリティに関わるあらゆる方々のために、当社は組織が非セキュアなコードに関連するリスクを軽減するお手伝いをいたします。
レポートを表示するデモを予約する
Matias Madou, Ph.D. est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter uniquement les problèmes de code sans aider les développeurs à écrire du code sécurisé. Cela l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau au sein de Team Awesome, il aime être sur scène pour faire des présentations lors de conférences telles que RSA Conference, BlackHat et DefCon.
Matias est un chercheur et développeur qui possède plus de 15 ans d'expérience pratique en matière de sécurité logicielle. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre société Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont abouti à des produits commerciaux et possède plus de 10 brevets à son actif. Lorsqu'il n'est pas à son bureau, Matias a enseigné des cours de formation avancée sur la sécurité des applications et prend régulièrement la parole lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en génie informatique de l'université de Gand, où il a étudié la sécurité des applications par le biais de l'obfuscation de programmes pour masquer le fonctionnement interne d'une application.
ポップカルチャーには、不正なAIやロボット、人間である所有者に牙をむくデバイスに関する言及が数多く存在する。これらはSFやファンタジーに深く根ざしているが、IoTや接続デバイスが家庭で普及するにつれ、サイバーセキュリティや安全性の議論も同様に重要性を増すはずだ。 ソフトウェアは至る所に存在し、私たちがどれほど多くのタスクをコードに依存しているかを忘れがちです。それらは革新と利便性をもたらす知的な作業を遂行しています。ウェブソフトウェア、API、モバイルデバイスと同様に、組み込みシステムの脆弱なコードも、攻撃者に発見されれば悪用される可能性があります。
マイクロ波軍団が人類を支配する可能性は低い(テスラロボットは少々懸念材料だが)とはいえ、サイバー攻撃の結果として悪意のあるサイバー事象が発生する可能性は常に存在する。 自動車や航空機、医療機器の一部も、重要な機能を遂行するために複雑な組み込みシステムコードに依存している。こうした機器が侵害される可能性は、単に憂慮すべきだけでなく、命に関わる事態を招きかねない。
他のあらゆる種類のソフトウェアと同様に、開発者は開発フェーズの初期段階からコードに最初に触れる立場にある。そして他のあらゆる種類のソフトウェアと同様に、このソフトウェアもまた、製品が稼働する前に見過ごされる可能性のある、潜伏的で一般的な脆弱性の原因となり得る。
開発者はセキュリティの専門家ではなく、どの企業も彼らがその役割を担うことを期待すべきではありません。しかし、彼らには自らが直面する脅威に対処するための、はるかに強力な手段が備わっています。 組み込みシステムは、主にC言語やC++で記述されており、技術的ニーズが進化し続けるにつれて、ますます頻繁に利用されるようになるでしょう。そのため、この環境のツールに関する開発者向けの専門的なセキュリティトレーニングが不可欠です。
爆発するエアフライヤー、不正車両…私たちはカモなのか?
安全な開発に関するいくつかの基準や規制は存在するものの、私たちの安全を確保するためには、ソフトウェアセキュリティのあらゆる側面において、より精密かつ意義深い進歩を遂げる必要がある。 エアフライヤーのハッキングによる問題を考えるのは誇張に思えるかもしれないが、実際に遠隔コード実行攻撃(脅威の作者が温度を危険なレベルまで上昇させることを可能にする)として発生した。同様に、車両の乗っ取りにつながる脆弱性も存在する。
特に自動車は、自動ワイパーからエンジンやブレーキの制御に至るまで、複数のマイクロ機能を担う統合システムを多数搭載しているため、極めて複雑である。 Wi-Fi、Bluetooth、GPSといった通信技術の普及に伴い、コネクテッドカーは複雑なデジタルインフラを形成し、多様な攻撃経路に晒されている。2023年までに世界で7,630万台のコネクテッドカーが走行すると予測される中、真のセキュリティを実現するには、防御基盤の構築が不可欠である。
MISRAは、組み込みシステムに関連する脅威に対して効果的に対処する主要な組織であり、組み込みシステムにおけるコードの安全性、セキュリティ、移植性、信頼性を促進するためのガイドラインを策定しています。 これらのガイドラインは、各企業が組込みシステムプロジェクトにおいて遵守すべき基準の礎石を成しています。
しかしながら、この基準に準拠したコードを作成・実行するには、これらのツールとそのセキュリティレベルを信頼できる組込みシステムエンジニアが必要です。
なぜ組み込みシステムのセキュリティに関するスキル強化はそれほど特殊なのでしょうか?
プログラミング言語CおよびC++は、現在の基準では老朽化しているものの、依然として広く使用されている。これらは組込みシステムのコード基盤の機能的な中核を構成し、Embedded C/C++は接続されたデバイスの世界において現代的で輝かしい寿命を享受している。
これらの言語は歴史が古く、インジェクション脆弱性やバッファオーバーフローといった一般的な問題において類似の脆弱性挙動を示すものの、開発者が組み込みシステムにおけるセキュリティバグを効果的に軽減するには、実際の動作環境を模したコードで習熟することが不可欠である。 一般的なC言語のセキュリティ実践に関する汎用的なトレーニングは、組み込みC環境での作業により多くの時間と注意を割く場合と比べて、単純に効果的でも記憶に残るものでもありません。
現代の車両には12個から100個以上のシステムが統合されているため、開発者はIDE内で直接、何を探すべきか、そしてどう対処すべきかについて正確なトレーニングを受けることが不可欠です。
組み込みシステムの保護は、基礎段階から全員が責任を負うべきである
多くの組織における現状は、少なくとも開発者の責任範囲においては、開発のスピードがセキュリティを凌駕している。 開発者が安全なコードを生成する能力はほとんど評価されない一方で、優れた機能を迅速に開発することが絶対的な基準となっている。ソフトウェアへの需要は増加の一途をたどるが、この文化は脆弱性やそれらが引き起こすサイバー攻撃との戦いで敗北する運命を我々に用意している。
開発者が訓練を受けていない場合、それは開発者の責任ではなく、AppSecチームのメンバーが適切なスキル強化プログラムを推奨することで補うべき欠陥である。そのプログラムは開発者コミュニティ全体にとってアクセス可能(評価可能と言っても過言ではない)でなければならない。 ソフトウェア開発プロジェクトの開始時点から、セキュリティは最優先事項とすべきであり、特に開発者を含む全員が、自らの役割を果たすために必要な立場を与えられなければならない。
組み込みシステムのセキュリティ問題の解決
バッファオーバーフロー、インジェクション脆弱性、ビジネスロジックのバグは、組み込みシステム開発における一般的な落とし穴です。単一の車両や機器内のマイクロコントローラーの迷路の奥深くに潜むこれらの問題は、安全性の観点から壊滅的な結果をもたらす可能性があります。
バッファオーバーフローは特に頻発する問題であり、以前取り上げたエアフライヤーの脆弱性(リモートコード実行を可能にした)にこれがどのように関与したかについて詳しく知りたい場合は、CVE-2020-28592に関するこのレポートを参照してください。
実際の組み込みC/C++コードにおけるバッファオーバーフロー脆弱性について理解を深める時が来ました。この課題に取り組み、この厄介なバグの原因となる誤ったコーディングパターンを特定・修正できるか試してみてください:
どうにかやりくりできたのか?組み込みシステムのセキュリティに関する正確で効果的なトレーニングは、www.securecodewarrior.comをご覧ください。
目次
Matias Madou, Ph.D. est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter uniquement les problèmes de code sans aider les développeurs à écrire du code sécurisé. Cela l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau au sein de Team Awesome, il aime être sur scène pour faire des présentations lors de conférences telles que RSA Conference, BlackHat et DefCon.
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードのセキュリティを確保し、サイバーセキュリティを最優先事項とする文化を構築するために、組織をSecure Code Warrior 。アプリケーションセキュリティ担当者、開発者、情報セキュリティ責任者、その他セキュリティに関わるあらゆる方々のために、当社は組織が非セキュアなコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約するダウンロードはじめの一歩を踏み出すためのリソース
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText アプリケーションセキュリティのパワー + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
.png)
