最後にヨハネス・ウルリッヒ(Johannes Ullrich)氏が、主にITエンジニアが留意すべきポイントを挙げた。
5つ目の課題としてウルリッヒ氏は、「乱数生成器への攻撃」を挙げた。安全な通信には暗号が欠かせず、その暗号アルゴリズムの中で乱数は重要な役割を果たす。もし乱数生成器に問題があり、十分にランダムな鍵が生成できなければ、WPA2を始め、さまざまな暗号通信方式が影響を受ける恐れがあるという。
6つ目の課題は、「Webサービスにおけるソフトウェアコンポーネントのセキュリティ確保」だ。かつて、OpenSSLなど主要なソフトウェアコンポーネントに重大な脆弱(ぜいじゃく)性が見つかった結果、多くのシステムが影響を受け、管理者が多大な対応に追われたことは記憶に新しい。これと同じことがWebサービスやマイクロサービスの世界で起きないとは断言できないとウルリッヒ氏は述べる。
「アーキテクチャのニーズが変化し、ITシステムはサーバレスコンピューティングやクラウドへと移行している。その中では、適切なサービスに接続しているか、適切なデータを受け取っているかどうかを知り、検証できることが重要だ」と同氏は述べ、完全性を確認するために、双方向認証や適切なSSLの実装が重要だと訴えた。
そして最後の課題は、「NoSQLへの攻撃」だ。SQL文で操作する伝統的なリレーショナルデータベースだけでなく、「MongoDB」のようなNoSQLデータベースを採用するシステムも増えている。しかし、「伝統的なデータベースで発生した問題は、NoSQLを操作するXML(Extensible Markup Language)やJSON(JavaScript Object Notation)でも発生する恐れがある」とウルリッヒ氏は指摘し、XMLインジェクションやXML External Entity、バリデーションの欠如といった問題を挙げた。また、Node.jsなどのフレームワークにも脆弱性が発見されていることから、こうした環境においても脆弱性管理を行う必要があるとした。
Copyright © ITmedia, Inc. All Rights Reserved.