メディア

サイバー攻撃に遭う意外な原因 69%の専門家に問題あり?

拡大し続けるサイバー攻撃に対応するにはどうすればよいのだろうか。問題の全体像を眺めたところ、欠けているピースが1つ見つかった。

» 2024年08月22日 07時00分 公開
[David JonesCybersecurity Dive]
Cybersecurity Dive

 サイバー攻撃を防ぐためには、自社に必要なサイバーセキュリティソリューションを導入すること以外にも必要な対策がある。

問題は人にある それも専門家に

 業界団体の調査によると、サイバー攻撃を招く原因の一つが分かった。

 オープンソースソフトウェア(OSS)の促進と保護に取り組むLinux FoundationとOpen Source Security Foundation(OpenSSF)が2024年7月14日に発表した調査結果によると(注1)、ソフトウェア開発に直接携わる専門家の28%は、安全なソフトウェア開発プラクティスに精通していないことが明らかになった。“精通できていない”とはどういうことなのだろうか。

 報告書によると、専門家のうち69%は、開発プラクティスにセキュリティを組み込む方法を学ぶために実務経験(OJT)に頼っている。セキュリティを組み込むための最低限の知識を得るには、通常5年間の実務経験が必要だという。これは長い。

 ソフトウェア開発の専門家自身が、最も一般的な課題を2つ挙げた。「学ぶための時間がないこと」と「セキュアなプログラミングが重要だという認識と問題に対応するためのトレーニングが不十分なこと」だ。

なぜソフトウェア開発が重要なのか

 調査報告書はソフトウェア開発がなぜ重要なのかを短くまとめた例を2つ挙げた。

(1)IBMが2023年に発表した報告書によれば、米国におけるデータ侵害のコストは、1件当たり平均944万ドル(約10億円)だ。

(2)Verizonが2021年に発表した報告書によれば、情報漏えいの43%はソフトウェア開発に不備があったことによるソフトウェアの脆弱(ぜいじゃく)性に関連していた。


 この調査が実施された背景には、業界と連邦政府当局がソフトウェア開発プロセスに安全な開発手法を取り入れることによって(注2)、ソフトウェアサプライチェーンから重大なセキュリティの脆弱性を根絶しようとしている取り組みがある

 Linux Foundationのデビッド・ウィーラー氏(オープンソースサプライチェーンのセキュリティを担当ディレクター)は「安全なソフトウェアの開発方法を知っている専門家によって開発されたソフトウェアへの攻撃は非常に難しい」と述べた。つまり、サイバー攻撃に対抗する有力な手段ということになる。

 ウィーラー氏によると、ソフトウェアの脆弱性の大部分は、バッファオーバーフローやSQLインジェクションの脆弱性などのよく知られたものだという。開発者がこれらの一般的な対策について学べば、脆弱性を悪用しようとする攻撃者へのガードが上がる。

 近年、連邦政府当局は、テクノロジー業界と教育機関に対して(注3)、ソフトウェア業界の専門家への正式なトレーニングや初期の開発ライフサイクルにセキュリティを組み込むよう促している。

 2024年5月には、製品ライフサイクルにセキュアバイデザインの実践を組み込むという自主的な誓約書に数十社が署名した(注4)。米国サイバーセキュリティ・インフラストラクチャ・セキュリティ庁(CISA)のセキュアバイデザインに関する誓約書には、これまでに160社以上が署名している(注5)。

 2024年3月と同年4月に実施された今回の報告書はソフトウェア開発者やシステムオペレーター、コミッター、メンテナーを含む業界の専門家400人を対象とした。データサイエンス担当者やマネジメント層も対象に含まれている。

© Industry Dive. All rights reserved.

会員登録(無料)

製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。