米Microsoftのプログラムマネージャ、ショーン・ハナン氏によると、米国有数の大学でも「セキュリティ教育は不十分か、あっても非実践的」という。
3月15日、16日の2日間にわたって開催されている「情報セキュリティ戦略シンポジウム」。初日の招待講演では、米Microsoftのプログラムマネージャ、ショーン・ハナン氏が「ソフトウェアは今以上に改善されなければならない」と述べ、ソフトウェアのセキュリティ品質向上に向け、3つの側面からの取り組みが必要だとした。
1つは、「セキュリティ開発ライフサイクル」の採用だ。ソフトウェアの開発ステップすべてにセキュリティという要素を織り込む取り組み、と言い換えてもいいだろう。
要求仕様の洗い出しと責任範囲の明確化、ソフトウェアデザインからはじまり、脅威のモデリング、それを踏まえてのコーディングとテスト、レビュー、さらには実装支援、導入後のフィードバックにいたるまで、あらゆるステップで一定のセキュリティ品質を満たすための作業が必要だとハナン氏。そうした適切な開発プロセスを取ることで、ソフトウェアの改善を図ることができるという。
事実、セキュリティ開発ライフサイクルを採用したWindows Server 2003では、脆弱性(緊急および重要ランクのもの)の数は、Windows 2000 Serverの64個から27個へと減少した。「まだまだ多いけれども、それ以前に比べればずっと改善されたのも事実」(同氏)。またコードの修正に加え、デフォルト設定の見直しや適切な権限設定などを組み合わせ、多層的な防御を実現することでも、システムに対するダメージを防ぐことができるとした。
ハナン氏が挙げた2つめの項目は、セキュリティ教育。特に大学など高等教育機関における教育の改善である。
同氏によると、スタンフォード大学やMITといった米国でも有数の大学でも、セキュリティ教育が不十分か、あってもあまり実践的ではない内容だという。たとえば、MITの「ネットワークおよびコンピュータセキュリティ」という教育コースで取り上げられているトピックの63%は暗号、32%は理論に関するもので、実装およびコードに関する項目は3%に過ぎない。
しかし「現在の市場では、セキュリティ問題の99%は実装やコードに起因している」(ハナン氏)。セキュリティに関するカリキュラムを改善し、実装やプロセス、テスト、品質といった項目にも目を向け、バランスの取れた教育を行うべきだと同氏は述べた。
最後の問題は、セキュリティ評価基準のあり方についてである。
現在、業界では製品のセキュリティ機能を図る指標としてCC(Common Criteria)が広く受け入れられている。これはこれで有用だが、「あくまで製品のセキュリティ機能に着目したもの」(同氏)。その製品に、バッファオーバーフローなどの脆弱な部分がどの程度あるか(あるいはどのくらい安全か)までは分からないが、そここそ、攻撃者が目をつける部分だという。
認定取得に要する時間やコストに関する改善もさることながら、「CCは現実のニーズを反映させる必要があるのではないか」(ハナン氏)。セキュリティ機能よりもセキュアな(安全な)機能に着目すべき、と同氏は述べている。
Copyright © ITmedia, Inc. All Rights Reserved.