Few software developers employ secure by design training, research finds
2024/10/15 NextGov — 10月15日 (月) に公開されたレポートによると、世界中のソフトウェア開発者のうち、製品の設計と開発に基本的なサイバー・セキュリティ基準を組み込むことに焦点を当てるトレーニングを実施しているのは、わずか 4%未満であるという。この数値の低さは、基本的なソフトウェアのバグが、依然としてハッカーたちに頻繁に悪用されている理由を裏付けるものかもしれない。このレポートは、産業界にセキュアなソフトウェア・ツール/サービスを提供する、オーストラリアの Secure Code Warrior によるものだ。
この調査結果は、ホワイトハウスの初代サイバー・セキュリティ責任者である Chris Inglis と、その後任である (2023年末まで暫定的に職務に就いていた) Kemba Walden も認めるものとなっている。
企業を対象とした、この大規模な調査により判明したのは、セキュア・コーディングに重点的に取り組む、アプリケーション・セキュリティの専門家は、100人の開発者に対して、僅か 3.87人に過ぎないことである。
Secure Code Warrior は、民間部門の顧客 600社と 25万人以上の開発者を対象に調査を実施し、米国政府が指定した重要インフラ部門のデータを照らし合わせ、各部門がセキュアなソフトウェアの原則を満たす能力を評価した。
金融サービス/ヘルスケア/IT などの業界では、セキュア・コードに関するスキルアップのスコアが同列に並んだが、重要インフラ分野におけう8部門は、この調査結果から完全に抜け落ちてしまっている。このレポートが指摘するのは、ソフトウェア開発をサードパーティに依存している業界が多く、分析に必要なデータが欠如しているという点である。
少なくとも 7,000人のソフトウェア開発者を雇用している大企業に場合には、Secure by Design の原則が業務に導入されると、脆弱性を 47%〜53% 削減できる可能性があると、このレポートは付け加えている。
現在、ベンチャー・キャピタル Paladin Capital Group に所属する Kemba Walden は、「かつてないほど、世界的な規模でサイバー脅威が蔓延している。この新たな調査結果は、重大な脆弱性を低減するために、デジタル・インフラ全体にわたって、Secure by Design イニシアティブを強化する必要性を示している。この調査は、サイバー・セキュリティにおいて重要な目標を達成するための、人材のスキルアップと、ベンチマークの作成を、明示的に呼びかけるものだ」と述べている。
2018年の発足した CISA は、それ以降においてセキュアな製品設計を推進している。2010年代に入ってから発生した、複数の衝撃的なサイバー・インシデントにより、そのコンセプトへの関心が急速に高まっている。このコンセプトとは、ユーザー企業に対して、販売される時点でセキュリティ機能が組み込まれている、ソフトウェア製品の設計を推奨するものである。
2024年5月に開催された RSA カンファレンスで、CISA が発表したのは、Secure by Design に関する自主的な誓約である。その時点で約 70社が誓約したのは、脆弱性開示プログラムの管理/自社製品への侵入を試みるハッカーの追跡/デバイスやアプリケーションへの初回セットアップ時のデフォルトパスワードの削減などである。その後にも、誓約する組織は増加し、現在では 200社以上が署名している。
2023年3月に発表された政府全体の包括的なサイバーセキュリティ戦略を通じて、National Cyber Director も、Secure by Design の原則を推進している。同組織が、開発者に対して強く推奨しているのは、メモリセーフ・プログラミング言語の採用である。具体的に言うと、ハッカーによる不正アクセス/データ破壊/システム・クラッシュにつながる可能性のある、メモリ・リークを防止するためのガードレールを内蔵した、ソフトウェア開発の推進である。
いまは、Paladin の Senior Strategic Advisor となっている Chris Inglis は、「今こそ、Secure by Design のスキルアップ・プログラムを確実に実施することが、国家としての現時点での責務だ」と、この調査結果が示す緊急性について述べている。
セキュアなソフトウェア標準を推進する人々は、食品や自動車の安全に関する法律になぞらえて、ソフトウェア製造に関する法的指令は、社会全体に利益をもたらすと主張している。多くのソフトウェアの欠陥が、Web サイト/データベース/コード・リポジトリ内に長年存在し続けているが、完全に解決されていない。その主な理由は、遵守すべき包括的な規制が存在しないところにあると、彼らは指摘している。
一部の法律専門家は、安全な開発を促進する方向へと、ソフトウェア市場が進んでいないと主張している。大手プロバイダーに中には、購入したソフトウェアのインストール時に、”現状のまま“のソフトウェアをユーザーが 受け入れることを、契約条項に盛り込んいる企業もある。そして、サイバー攻撃を可能にする、欠陥が内在する製品のリスクを、すべて顧客に負担させていると、主張している。
このブログでは、Secure by Design はイチ押しでした、関連記事を見つけると、必ず訳してポストするようにしています。しかし、今日の記事を読む限り、まだまだ道程は遠いようですね。よろしければ、Secure by Design で検索を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.