誰もが信頼している製品・サービスに潜む脆弱性 まさかの「アップデートしたら感染」する事例も
東洋経済オンライン / 2024年6月17日 9時0分
以前から脆弱性を生まないための脅威分析やセキュアコーディング技法などはありますが、それでも防ぎきれず、多くの場合は製品提供後に脆弱性が見つかって慌てて対処する形になります。
そのため今は、「脆弱性が見つかった後の対処が大事」と言われます。見つかった後で脆弱性をどのように修正しユーザーに届けるのか計画を立てておく必要があり、その計画を実行できる体制を内部に作ることが極めて重要です。
守るべきものにどのようなリスクがあるか確認しておく
――アジャイル開発やDevOpsなどの新しい開発、運用では、「シフトレフト」でセキュリティ対策をすべきとの話もありますが。
福本:開発プロセスの早い段階からセキュリティ対策をする「シフトレフト」が注目されていますが、開発の世界ではかなり前から言われていたことです。開発リソースが十分にない場合、とりあえず製品を作って公開し、脆弱性が見つかってから対処するケースも多いでしょう。
しかし、設計段階であれば容易に対応できたものでも、後から対応すると手間もコストも大きくかかってしまいます。さまざまな研究でも、後から対処するほうがコストは増えるとの結果があります。JPCERTで開発企業などにセキュア開発を紹介する際も、シフトレフトの考え方を普及させようとしているところです。
――開発の現場では日々どのようなことを意識すればよいのでしょうか。
佐々木:発見される脆弱性のすべてが、ゼロデイ攻撃のようにすぐに悪用されるわけではありません。多くは情報公表後に速やかに対処すれば、大きな事故は防げます。そのためには、修正プログラムの適用、問題発生時のセキュリティ専門機関やセキュリティ企業との連携など、対処の手順を想定しておく必要があります。
福本:素早く対処するためにも、製品やサービスの中で守らなければいけないものが何かは明確にしておきたいです。例えば顧客の個人情報のように、絶対に守らなければならないものにどのようなリスクがあるかをあらかじめ把握しておくのです。
ユーザー企業だけでなく、専門組織も標的になる
――製品ベンダーや開発側、さらにセキュリティ専門組織などが攻撃された事例はありますか。
佐々木:有名なものに、2020年に発生したアメリカのSolarWinds社の事件があります。同社の製品アップデートサーバーが侵害され、Orionというソフトウェアのアップデートファイルを通じ、世界中の組織にバックドア(システム内部に不正侵入するための入り口)がインストールされました。
この記事に関連するニュース
-
iOS版LINEアプリに脆弱性、アップデートを
マイナビニュース / 2024年6月24日 8時58分
-
Androidアプリ「ZOZOTOWN ファッション通販」に脆弱性
マイナビニュース / 2024年6月20日 16時28分
-
今押さえておきたいサイバーセキュリティ用語 第9回 ランサムウェア攻撃の侵入経路トップの脆弱性 - 放置は厳禁
マイナビニュース / 2024年6月19日 13時33分
-
ソフトウェアサプライチェーンの保護に果たすAIの役割とは【前編】
マイナビニュース / 2024年6月17日 11時31分
-
脆弱性管理の「トリアージ」が抱える指標の課題 すべてに対応は難しい、「優先順位」どうつける
東洋経済オンライン / 2024年5月31日 8時0分
ランキング
-
1ソニー宮城拠点、250人削減=ブルーレイ、生産縮小
時事通信 / 2024年6月29日 15時49分
-
2「クレカタッチ」は交通系ICカードを駆逐するのか 熊本で「全国相互利用」離脱、一方で逆の動きも
東洋経済オンライン / 2024年6月29日 7時30分
-
3「押しボタン式信号」なぜ“押してすぐ青”にならないケースが? 納得の理由があった!
乗りものニュース / 2024年6月29日 16時42分
-
4作文は「理系だと苦手」「文系が得意」という大誤解 算数が得意な子は大概「作文もうまい」納得理由
東洋経済オンライン / 2024年6月29日 10時0分
-
5池袋西武とヨドバシ「売り場折半」の波紋と懐事情 北側にヨドバシ出店、西武の集客力に影響は?
東洋経済オンライン / 2024年6月29日 10時30分
複数ページをまたぐ記事です
記事の最終ページでミッション達成してください