サイバー攻撃に遭う意外な原因 69%の専門家に問題あり?
拡大し続けるサイバー攻撃に対応するにはどうすればよいのだろうか。問題の全体像を眺めたところ、欠けているピースが1つ見つかった。
サイバー攻撃を防ぐためには、自社に必要なサイバーセキュリティソリューションを導入すること以外にも必要な対策がある。
問題は人にある それも専門家に
業界団体の調査によると、サイバー攻撃を招く原因の一つが分かった。
オープンソースソフトウェア(OSS)の促進と保護に取り組むLinux FoundationとOpen Source Security Foundation(OpenSSF)が2024年7月14日に発表した調査結果によると(注1)、ソフトウェア開発に直接携わる専門家の28%は、安全なソフトウェア開発プラクティスに精通していないことが明らかになった。“精通できていない”とはどういうことなのだろうか。
報告書によると、専門家のうち69%は、開発プラクティスにセキュリティを組み込む方法を学ぶために実務経験(OJT)に頼っている。セキュリティを組み込むための最低限の知識を得るには、通常5年間の実務経験が必要だという。これは長い。
ソフトウェア開発の専門家自身が、最も一般的な課題を2つ挙げた。「学ぶための時間がないこと」と「セキュアなプログラミングが重要だという認識と問題に対応するためのトレーニングが不十分なこと」だ。
なぜソフトウェア開発が重要なのか
調査報告書はソフトウェア開発がなぜ重要なのかを短くまとめた例を2つ挙げた。
(1)IBMが2023年に発表した報告書によれば、米国におけるデータ侵害のコストは、1件当たり平均944万ドル(約10億円)だ。
(2)Verizonが2021年に発表した報告書によれば、情報漏えいの43%はソフトウェア開発に不備があったことによるソフトウェアの脆弱(ぜいじゃく)性に関連していた。
この調査が実施された背景には、業界と連邦政府当局がソフトウェア開発プロセスに安全な開発手法を取り入れることによって(注2)、ソフトウェアサプライチェーンから重大なセキュリティの脆弱性を根絶しようとしている取り組みがある
Linux Foundationのデビッド・ウィーラー氏(オープンソースサプライチェーンのセキュリティを担当ディレクター)は「安全なソフトウェアの開発方法を知っている専門家によって開発されたソフトウェアへの攻撃は非常に難しい」と述べた。つまり、サイバー攻撃に対抗する有力な手段ということになる。
ウィーラー氏によると、ソフトウェアの脆弱性の大部分は、バッファオーバーフローやSQLインジェクションの脆弱性などのよく知られたものだという。開発者がこれらの一般的な対策について学べば、脆弱性を悪用しようとする攻撃者へのガードが上がる。
近年、連邦政府当局は、テクノロジー業界と教育機関に対して(注3)、ソフトウェア業界の専門家への正式なトレーニングや初期の開発ライフサイクルにセキュリティを組み込むよう促している。
2024年5月には、製品ライフサイクルにセキュアバイデザインの実践を組み込むという自主的な誓約書に数十社が署名した(注4)。米国サイバーセキュリティ・インフラストラクチャ・セキュリティ庁(CISA)のセキュアバイデザインに関する誓約書には、これまでに160社以上が署名している(注5)。
2024年3月と同年4月に実施された今回の報告書はソフトウェア開発者やシステムオペレーター、コミッター、メンテナーを含む業界の専門家400人を対象とした。データサイエンス担当者やマネジメント層も対象に含まれている。
出典:Nearly 1 in 3 software development professionals unaware of secure practices(Cybersecurity Dive)
注1:Secure Software Development Education2024 Survey(The Linux Foundation)
注2:CISA launches new phase of Secure by Design to push global industry on software security(Cybersecurity Dive)
注3:CISA director urges tech industry to take responsibility for secure products(Cybersecurity Dive)
注4:68 tech, security vendors commit to secure-by-design practices(Cybersecurity Dive)
注5:Secure by Design Pledge Signers(CISA)
© Industry Dive. All rights reserved.
関連記事
「10種類の設定ミス」が危ない 企業ネットワークを守るには
NSAとCISAは企業のネットワークインフラには弱点が残っており、10種類の設定ミスをまず確認すべきだと発表した。
先進国が総掛かりで取り組む「AI×セキュリティ」とは
今の時代で最も重要な技術はAIだろう。こうした意見に対して、AIのセキュリティはどうかという疑問が生じるのは当然だろう。
サイバー攻撃者と被害者 実は第三の関係者がいた
ランサムウェア攻撃が増え、被害は拡大している。攻撃者をブロックし、企業が防御を固めるだけでは事態は解決しないというのが政府の考えだ。では誰が何をすればよいのだろうか。