バイデン政権、メモリ安全性の高いプログラミング言語の採用を呼びかけCybersecurity Dive

重大な脆弱性を減らすための取り組みの一環として、メモリ安全性の高いプログラミング言語をソフトウェアに採用する傾向が強まっている。

» 2024年03月24日 07時00分 公開
[David JonesCybersecurity Dive]

この記事は会員限定です。会員登録すると全てご覧いただけます。

Cybersecurity Dive

 バイデン政権は2024年2月26日(現地時間、以下同)の週、悪質な国家やハッカーが悪用する重大な脆弱(ぜいじゃく)性を減らすための取り組みの一環として、メモリ安全性の高いプログラミング言語の採用について主要業界の支持を集めた。

メモリ安全性の高いプログラミング言語の使用に賛同の声

 SAPやAccenture、Palantir、Hewlett Packard Enterpriseなどの大手テクノロジー企業は(注1)、メモリ安全性の高いプログラミング言語の採用を支持している。スタンフォード大学やオックスフォード大学の関係者も、ソフトウェアの測定性を向上させる取り組みを支持している。

 ホワイトハウスの国家サイバー局は、2024年2月26日に報告書を発表し(注2)、テクノロジー業界に対して製品にメモリ安全性の高い言語を広く採用するよう呼びかけるとともに、研究コミュニティーに対し、安全なソフトウェアを測定するための診断能力の向上に協力するよう求めた。

 メモリ安全性の問題は、バイデン政権の国家サイバーセキュリティ戦略の重要な要素である。これは将来の攻撃のリスクを減らすために、国の構造的弱点を強化するためのものだ。

 CやC++のように広く使われている言語は、しばしば重大な脆弱性のリスクを高めてきた(注3)。2014年にOpenSSLで見つかった「CVE-2014-0160」の脆弱性、通称「Heartbleed」(注4)や、古い「iPhone」、その他のデバイスにスパイウェアを配信するために使用されたエクスプロイトチェーン「BlastPass」(注5)など、過去数年間における最悪の危機では、メモリ安全性の問題が主要な原因とされている。

 国家サイバー局のハリー・コーカー氏(局長)は、メディアブリーフィングに先立つ声明で、「ハードウェアとソフトウェアの製作者が、この問題に取り組むのに最も適した立場にあることは明らかだ。私たちは、サイバースペースの構成要素であるプログラミング言語について考え直す必要がある」と述べた。

 HPEのフィデルマ・ルッソ氏(最高技術責任者)は「メモリ安全性の高いコードが当社におけるクラウドネイティブ開発の新しい標準になるだろう」と述べた。

(注1)Statements of Support for Software Measurability and Memory Safety(THE WHITE HOUSE)
(注2)BACK TO THE BUILDING BLOCKS:(THE WHITE HOUSE)
(注3)White House wants input on open source security, memory-safe languages(Cybersecurity Dive)
(注4)OpenSSL 'Heartbleed' vulnerability (CVE-2014-0160)(CISA)
(注5)BLASTPASS NSO Group iPhone Zero-Click, Zero-Day Exploit Captured in the Wild(THE CITIZEN LAB)

© Industry Dive. All rights reserved.