本記事は、Trustworthy Computing のブログ “The time is now. Security Development Must be a Priority for Everyone” (2013 年 5 月 14 日公開) を翻訳した記事です。
投稿: マイクロソフト Trustworthy Computing (信頼できるコンピューティング) 部門、ソフトウェア セキュリティのパートナー ディレクター、 Steve Lipner (スティーブ リプナー)
マイクロソフトがセキュリティ開発ライフサイクル (SDL) を実装してから約 10 年が経ちました。その間に非常の多くの変化がありました。過去 10 年間で、インターネット利用ユーザーは約 3 億 5,000 万人から 24 億人以上になりました。現在、開発者にとってかつてないほどの機会が横たわっています。Windows 8 はまだ比較的新しく、クラウドは導入の初期段階にあり、新しいモバイル デバイスやプラットフォームは急増しています。インターネットによって新しい機会とビジネス形態が多数作られた一方で、オンライン犯罪のデジタル アンダーグラウンドも生み出されました。今日のコンピューティング状況において、財政面に影響したり、知的財産の損失や Web サイトの改変、スパイ行為につながったりするセキュリティ侵害が現実のものになりました。
私が話したことのある開発者の多くは大抵、セキュリティ開発の重要性を認識していました。それにもかかわらず、大多数の組織が基本的な専門領域としてセキュリティ開発をまだ導入していないことを示す証拠があります。マイクロソフトは最近、世界中の 2,200 人以上の IT プロフェッショナルと 490 人の開発者に対して調査を行いました。この調査で、セキュリティを考慮して製品やサービスを開発している組織であると回答した IT プロフェッショナルはわずか 37% でした。さらに、開発者の 61% が、ASLR、SEHOP、DEP などの既に存在する緩和技術を活用していませんでした。これらの緩和技術は長年 IT 業界で自由に利用できるようになっており、多くの場合、既存の開発プラクティスに簡単に追加できるのにもかかわらず、少数の開発者しか活用していません。私はこのことを懸念しており、これはインターネットを利用するすべてのユーザーにとっての懸念事項となるべきです。
さらに、この調査では、組織がセキュリティ開発プロセスを導入する妨げとなっている最大の障害物が、 1) 管理承認の欠如、2) トレーニングとサポートの欠如、3) コスト であることが明らかになっています。最近、セキュリティ開発会議において、マイクロソフトとその他の企業は、これらの障害を取り除き、セキュリティ開発を導入する際のギャップを埋めるための対策を講じました。
管理承認 - 標準化とコンプライアンスによって、管理承認に関連する障害の多くを克服することができます。 国際標準化機構 (ISO) と国際電気標準会議 (IEC) は、セキュリティ開発プロセスに関する標準が必要であると認識し、 ISO/IEC 27034-1 を公開しました。この新しい国際標準は、包括的なソフトウェア セキュリティ プログラムの構築に必要なプロセスとフレームワークに焦点を当てた初めての標準です。 ISO/IEC 27034-1 は、セキュリティを正しい方向に向かわせる重要な一歩であり、組織に多くの可能性をもたらします。 マイクロソフトはセキュリティ 開発におけるこの 重要なマイルストーンを 認識し 、本日、 適合宣言 を通 じて、 マイクロソフトのSDL がISO 27034-1 に適合 していることを発表 しました 。この標準に公に適合することによって、マイクロソフトが、セキュリティ開発に専心しようとする他の企業の見本となることを願っています。
- ソフトウェアを 開発または 販売する 企業にとって 、この標準は、セキュリティ開発プラクティスの共通の評価言語を提供し、セキュリティ開発フレームワークを導入するための単純明快な概要を示し、市場で競争力を持つための差別化要因となります。
- ベンダーからソフトウェアやサービスを購入するお客様にとって 、この標準は、業界、プラットフォーム、地域全体でのセキュリティ開発を要求する購入者の単一の「言語」を提供します。
ISO 27034-1 の詳細については、最近公開された「ソフトウェア セキュリティ標準の登場: ISO/IEC 27034-1:2011 と組織 (The emergence of software security standards: ISO/IEC 27034-1:2011 and your organization)」というタイトルのホワイト ペーパーをご覧ください。これは、マイクロソフトの依頼で Reavis Consulting Group, LLC によって発行されたホワイト ペーパーです。
多くの業界が、インフラストラクチャをセキュリティで保護したり、業界の規制に適合させたりするために苦戦しています。この課題に取り組んでいる業種の一例として保健医療業界が挙げられます。最近、マイクロソフトは「保健医療業界における安全なソフトウェアの動向 (Secure Software Trends in Healthcare)」というタイトルのホワイト ペーパーも公開しました。このホワイト ペーパーは、保健医療業界の課題について説明し、SDL によってもたらされる良い影響について実証しています。
トレーニングとサポート - マイクロソフトは、SDL プロセスの自動化と強化を支援し、効率性を高め、SDL を実装しやすくするために、SDL for Agile、脅威のモデル化ツール、Attack Surface Analyzer など、ダウンロード可能な無償のツールとガイダンスを SDL Web サイトで提供しています。お客様の実装をお手伝いするため、マイクロソフトのパートナー ネットワークには、SDL に基づいたセキュリティ開発プラクティスの導入を支援するメンバー企業が多数名を連ねています。これらのリソースに加えて、Software Assurance Forum for Excellence in Code (SAFECode) で、セキュリティ開発に関する無料の新しいオンライン トレーニング コースが最近発表されました。
コスト - 最後になりますが、IT プロフェッショナルと開発者は、セキュリティ開発フレームワークの導入における大きな障害としてコストを挙げています。しかし実際には、このプロセス記述型の安全なコードの実装によってもたらされる利点は、セキュリティで保護された製品だけではありません。これは、実質的なコスト削減にもつながります。Aberdeen Group の調査によると、「Secure at the Source」(マイクロソフトの SDL に似ています) 戦略を導入した企業は、アプリケーション セキュリティの年間投資額に対して 4 倍という強力な収益率を実現していることもわかっています。Forrester は、SDL を実践している企業では全体に比べて明らかに優れた投資収益率が報告されていると述べて、この調査結果を裏付けています。
今日、アプリケーションの数は増加しており、開発者の仕事が不足することはありません。
そして、開発者にとって競争も激化しています。新しいソフトウェア製品やアプリはすべて、競合製品と戦わなければなりません。この状況は以前にも発生し、市場初として製品を投入したり、驚異の機能で目立たなければならないという商業上の圧力によって、セキュリティが二の次になることが非常によくありました。しかし、今回はそうならないことを願っています。サイバー犯罪は、残念なことに実際によく発生している脅威であり、それが個人や組織に与える影響は十分に理解されています。 結果として、ソフトウェアを使用する組織はより安全なソフトウェア製品を要求しなければならず、開発者はその要求を満たして競争力を維持するために、セキュリティ開発を実装する必要があります。