「サイバー攻撃の責任はベンダーにあり」という政府の主張は正しいのか？

サイバー攻撃が一向に沈静化しないのは、不完全なソフトウェアを市場に出し続けるソフトウェアベンダーに一部の責任がある。これは受け入れられる主張なのだろうか。

[Matt Kapko，Cybersecurity Dive]

　「サイバー攻撃は悪人が存在するから起こる」「ユーザーがきちんと対策しないために起こる」といった見方は単純すぎるだろう。

ソフトウェア業界の責任を追求する政府

　原因の一端は不完全なソフトウェアを市場に投入する企業にもあるはずだ。政府はこのような主張を強めている。この主張は正しいのだろうか。

　連邦サイバー当局によると、「ソフトウェアベンダーは製品から欠陥、コーディングエラー、脆弱（ぜいじゃく）性を排除することで『品質を向上させる』時が来た」という（注1）。

　ソフトウェアの欠陥は毎日のように表面化している。米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、ベンダーが最初からこれらの欠陥に注意を払っていれば攻撃を防げたと強調した。

　CISAのシニアテクニカルアドバイザーのボブ・ロード氏とジャック・ケーブル氏、シニアアドバイザーのローレン・ザビエック氏は、2024年5月13日（現地時間、以下同）、次のように述べた（注2）。

　「特に注目すべきなのは、これらの欠陥の多くを防ぐ方法が何年も前から、さらには何十年も前から知られていることだ」

　CISAはソフトウェアベンダーに対して、ソフトウェア開発のプロセスにおけるこのような誤りを事前に修正するよう圧力をかけている。セキュリティに関する責任をユーザーからベンダーに移すという取り組みを推進しているためだ。

　しかし、サイバーセキュリティの専門家の中には、このキャンペーンは失敗に終わると予想する者もいる。

　サイバーセキュリティ事業を営むUnit 221Bのアリソン・ニクソン氏（チーフリサーチオフィサー）によると、技術的な問題に関する政府関係者と業界関係者の間のこのやり取りは「終わりのないループ」であり、最終的には非生産的なものに終わるのだという。

　2023年4月、CISAは「セキュア・バイ・デザイン」の原則を発表し（注3）、メーカーが製品や実務にセキュリティをどのように組み込むべきかについて、一貫したビジョンを示した（注4）。

　CISAはセキュア・バイ・デザインに関する「誓約」を発表し（注5）、2024年5月6日の週には、サンフランシスコで開催されたRSAのカンファレンスで68のベンダーが同誓約に署名した。この取り組みは、ソフトウェア企業に対して、クロスサイトスクリプティング（XSS）やSQLインジェクション、ディレクトリトラバーサル（注6）などのありふれた脆弱性に事前に対処し、メモリ安全性の低い言語などの使用を停止するよう求めるものだ（注7）。

　しかし、問題は依然として存在している。長年にわたって根付いたソフトウェア開発慣行を変えるCISAの能力に限界があるようだ。

　これらの欠陥のほとんどは、業界を悩ませ続け、企業や政府機関に大きな損害を与えてきた。CISAは、これらの不具合を整理し、業界が個別の不具合に対処する以上に前進するためのパターンを発見したいと考えている。

　アドバイザーたちは「最も一般的なクラスのコーディングエラーに対処している企業もあるが、業界全体として十分に進展していない証拠がある」と述べた。

コーディング以外の問題に対処する

　ニクソン氏によると、意味のある変化を実現するためには、企業のこれまでの行動パターンから脱却するための資源や意志、権力が必要だという。

　「もし政府が業界から人材を引き抜くことができれば、古くからあるバグに関する説明を書くような時間の無駄を避けられるだろう」（ニクソン氏）

　ニクソン氏によると、連邦政府は欠陥のあるコードに焦点を当てるのではなく、弁護士が（法的リスクや企業の責任を回避するために）サイバーセキュリティに干渉するのを防ぐ措置を講じ、短期的な利益のために長期的なコストを犠牲にしてサイバーセキュリティを損なう企業を罰することによって、より大きな影響を与えることができるという。

　「これらは米国の企業でよく見られる破壊的なパターンであり、安全でないソフトウェアの真の根本原因だ」（ニクソン氏）

　CISAには、企業に勧告を順守するよう強制する規制力はない（注8）。その代わり、同庁はセキュア・バイ・デザインに関する取り組みの普及を進展の鍵としている。

　CISAのアドバイザーは「このプログラムは、顧客システムで発生する個々の欠陥に対処する『モグラ叩き』をやめる必要性を強調している」と述べた。

　また、CISAのアドバイザーは、次のようにも述べている。

　「他の業界では原因に関する根本的な分析を実施し、欠陥そのものをなくすよう努力するのが常識だ。ソフトウェア業界において、これが常識になるべき時期はとうに過ぎている」

出典：Unsafe software development practices persist, despite CISA’s push（Cybersecurity Dive）
注1：Categorically Unsafe Software（CISA）
注2：Categorically Unsafe Software（CISA）
注3：CISA, partner agencies unveil secure by design principles in historic shift of software security（Cybersecurity Dive）
注4：CISA explains how to apply secure-by-design principles（Cybersecurity Dive）
注5：White House wants to hold the software sector accountable for security（Cybersecurity Dive）
注6：CISA, FBI urge software companies to eliminate directory traversal vulnerabilities（Cybersecurity Dive）
注7：White House rallies industry support for memory safe programming（Cybersecurity Dive）
注8：CISA explains why it doesn’t call out tech vendors by name（Cybersecurity Dive）