21世紀は「モノのセキュリティ」を構築するための世紀になる：「DevOpsの中でのセキュリティ自動化」「サプライチェーン全体のリスク評価」（2/2 ページ）

» 2016年09月02日 05時00分公開

見た目は家電でも実態はソフトウェア、食品と同様に「中身の確認」を

　ソフトウェアが果たす役割が拡大するにつれ、もう1つの問題が浮上する。

　今や、ソフトウェア開発において、ソースコード全てを1から自力で書くケースはまれだろう。何らかのフレームワークを活用したり、時にはオープンソースのライブラリを活用したりと、既存の資産を活用することがほとんだ。つまり、ソフトウェアについても「サプライチェーン」が構築されており、もしその「部品」に脆弱性が発覚したなら、影響が甚大になるのだ。このことは、OpenSSLで発見されたHeartbleedの脆弱性、多数のWebサイトに影響を及ぼした1件を見るだけでも明らかだ。

　従って、部品供給を受ける際に、品質や安全基準を満たしていることを確認するのと同じように、「ソフトウェアにどのようなコンポーネントが含まれているかを把握し、それらに脆弱性が存在しないか、セキュリティは確保されているかを確認する手段が必要だ」と、シノプシスソフトウェアインテグリティグループのストラテジック・イニシアチブ担当デビッド・シャルティエ氏は述べる。

シノプシスソフトウェアインテグリティグループストラテジック・イニシアチブ担当デビッド・シャルティエ氏

　例えば、2014年にコードノミコンらが発見したHeartbleedの脆弱性に関しても、スキャンしてみるといまだにパッチを適用せず、脆弱性をそのままにしているサーバが多数稼働しているという。その理由の1つとして、「サーバ上で稼働しているソフトウェアに何が含まれているかを把握していないケースが考えられる」とシャルティエ氏は言う。

　こうした現状を解決するヒントは、他業界の取り組みに見つけることができる。その1つが食品業界だ。現在、市場に流通している食品では、原材料や成分表示が義務付けられている。同じように、「ソフトウェアについても、事実ベースで情報を提示し、それを購入したユーザー側も中に何が入っているかを把握しなければならない。もし、そこに含まれているオープンソースのコンポーネントに脆弱性が発見されたならば、ユーザーが修正を行う必要がある」（シャルティエ氏）。ソフトウェアコンポーネントを「恐らく大丈夫だろう」と無条件に信頼するのはなく、きちんと事実に基づいてリスクアセスメントを行うべきというわけだ。

　また、「コンポーネントのサプライチェーン以外の、別の“チェーン”にも注意が必要だ」と、シノプシスソフトウェアインテグリティグループのソフトウェアサプライチェーンマネジメント担当グローバルマネジャー、ジョー・ジャズベク氏は指摘する。

シノプシスソフトウェアインテグリティグループソフトウェアサプライチェーンマネジメント担当グローバルマネジャー、ジョー・ジャズベク氏

　「多くの人は、電話やサーモスタットを買ったという意識はあっても、ソフトウェアを購入しているという意識を持っていない。だが実際には、それらの製品の制御においては、ソフトウェアが非常に大きな役割を果たしている」（ジャズベク氏）。そしてこうしたソフトウェアは、もはやスタンドアロンでは動作せず、ネットワークを介して接続され、時には思いもよらないシステム――顧客情報や機密情報を扱うネットワーク――への入口となる恐れすらある。これがもう1つの“チェーン”（つながり）というわけだ。

　ジャズベク氏らが、ソフトウェアのつながりがもたらすリスクの典型例として挙げるのが、2013年に米Targetで発生した大規模情報漏えい事件だ。この事件では、空調設備の管理システムが最初の侵入口となり、最終的には数千万件というレベルの個人情報漏えいにつながった。「同社はあくまでも（単体で動作する）エアコンを購入したという認識しか持っておらず、それがネットワークに接続するという前提での評価は行っていなかった」（同氏）。周囲を見渡せば、既に湯沸かし器やコーヒーメーカー、あるいはサーモスタットなど、さまざまな機器が「リモートコントロール対応」をうたって提供されている。これらも同様に、ビジネスシステムへのリスクになる恐れがあるわけだ。従って、ユーザーはきちんとテストし、リスク評価の対象に含める必要がある。

　「一見ソフトウェアに見えないようなモノでも、提供する側とユーザー側、それぞれがさまざまなレベルで適切にテストを行い、どんなソフトウェアコンポーネントが含まれているかを把握し、結果を可視化してセキュリティが満たされているかを確認するプロセスが求められる。ただし、それをマニュアルでやっていては間に合わない。何らかのツールを用いて自動化することが重要だ」（シャルティエ氏）

　既に企業の調達の現場ではさまざまな「仕様」が規定されており、それを満たすかどうかをチェックした上で納品が行われているはずだ。シャルティエ氏は、「ソフトウェアについても、同じようなプロセスが始まりつつある。ソフトウェアが（機能だけでなく）品質やセキュリティを満たしているかを評価し、透明性を確保した上で導入するケースが、米国の大手メーカーや病院、あるいは政府などで始まっている」と述べる。

　また、シャルティエ氏はさらに、「100年前の自動車と同じ状況がソフトウェアでも始まっている」と言う。「当時の車には、シートベルトをはじめとする安全機構など存在しなかった。車がさまざまな積み重ねとテクノロジの進化、業界標準の策定などに伴って、より『安全』『安心』な乗り物になり、それが品質として評価されるようになったのと同じように、ソフトウェアの領域でもセキュリティを確保する取り組みが求められていくだろう」（同氏）。

「安全の世紀」だった20世紀、「セキュリティの世紀」になる21世紀

　さまざまな製品の安全性に関する標準作成と試験、認定制度を展開している米ULのコマーシャル＆インダストリアルビジネスユニットサイバーセキュリティテクニカルリードを務めるケン・モデステ氏も、「標準に基づくテストを実施し、開発段階からセキュリティを組み込むべき」という提言に同意見のようだ。

米ULのコマーシャル＆インダストリアルビジネスユニットサイバーセキュリティテクニカルリードケン・モデステ氏

　同氏はBlack Hat Briefingsの会場で＠ITの取材に対し、「20世紀は安全な製品を作るための世紀だった。これに対し21世紀はセキュリティの世紀になるだろう」と答えた。

　米ULは120年以上にわたって、電気製品や産業機器の安全性を検査し、安全規格の標準化に取り組んできた組織だ。発火や感電などによって人体や設備に被害が及ばないための物理的な安全性に関する標準の作成とテスト、トレーニングを主たる領域としてきたが、最近はサイバーセキュリティ分野にも力を入れているという。

　「これまで電気製品を開発する場合には、誤作動を起こさないことを考えていればよかったが、今はそれがネットワークを介して他の電気製品などとつながり、オンラインで操作できるようになっている。この結果、ITシステムで起こっていた“マルウェア感染”や“アカウント乗っ取り”といったさまざまなサイバー攻撃のリスクが、こうした製品にも及び始めている。ところが、開発者は制御のことは考えていても、セキュリティを考慮してこなかった」（モデステ氏）

　モデステ氏によれば、ハードウェアはソフトウェアに比べると比較的シンプルな構造だったが、現在ではソフトウェアの制御下に置かれる領域がどんどん広がっており、ハードウェアチップですら一部はソフトウェアによって制御されているという。しかもそれらは、ITシステムへの入口としても機能する。サイバーセキュリティに関する問題の多くがソフトウェアに起因する以上、「エンジニアはハードウェアのセーフティだけでなく、ソフトウェアのセキュリティについても学び、実装していく必要がある」と同氏は強調した。

　「あらゆるプロダクトが安全基準を満たすための試験を通過しているのと同じように、サイバーセキュリティ上の要求を満たしているかどうかのアセスメントを実施することが求められるだろう」（モデステ氏）。米ULでは、その前提となるセキュリティ標準やリスクアセスメントモデル、それらに関するトレーニングといった取り組みを進めることで、ひいては業界文化の変革を後押ししていくことを目指すという。

　一連のセキュリティカンファレンスの発表にも見られる通り、モノのセキュリティをめぐる問題意識は今、広く共有されるようになってきている。むしろ、やや過熱気味のきらいもあり、さまざまな業界団体が生まれ、標準が乱立している状態だ。モデステ氏は、複数の標準が存在していることを認めた上で、「国際的なコンセンサス作りが欠かせないし、そのための取り組みをISO/IECでも進めている。関心を持つ企業や団体はぜひコミュニティーに参画してほしい」と述べた。

　「20世紀を通じて安全を確立するのに時間はかかったが、今では『セーフティ』は当たり前の価値になっている。セキュリティも同じような道筋をたどり、21世紀は、セキュリティを構築するための世紀になるだろう。セーフティのように時間はかかるだろうが、だからこそ、ぜひ今からスタートしてほしい」（モデステ氏）。特に、2020年にオリンピック開催を控える日本では、さまざまなIoTの活用が予想される。メーカーが率先してサイバーセキュリティに取り組むことで、2020年のその先にも通用する一歩進んだIoTの実現につなげてほしい。