セキュリティインシデントの92%はソフトウェアの脆弱性が起因だ。しかし解決策となる開発工程のセキュリティ対策を諦める企業も少なくない。この状況を大きく変える解決策はないのだろうか。
外部からの攻撃で情報が漏えいしたり改ざんされて悪意あるウイルスの媒体になったりするなど、Webアプリケーションやスマートフォンアプリケーションの脆弱(ぜいじゃく)性に起因するセキュリティインシデントは後を絶たない。NIST(National Institute of Standards and Technology:アメリカ国立標準技術研究所)の調査は、報告のあったセキュリティインシデントの92%は、ネットワークではなくアプリケーションに問題があったと指摘する。
従ってこのリスクは、企業にとってソフトウェアやアプリケーションに内在する脆弱性への対策漏れに比例することになる。現実的にいってバグのないソフトウェアは実現不可能であり、プログラムに潜む脆弱性もゼロにはできない。だが少なくとも、テストを通じて問題を抽出して深刻なものから修正するなど開発チームがコントロールできる状態にすることは可能なはずだ。
しかし、そのような方策が有効だと分かっていて、かつ取り組みたいと考えながら実践できないのはなぜだろうか。いかにしてセキュアなソフトウェアを出荷する体制を構築するのか。ソフトウェアの脆弱性問題に長年取り組んでいる専門家は、「ビジネスを推進するためのアプリケーション開発と、そのリスクを下げる目的であるべきセキュリティ脆弱性テストの両方にまつわる構造的な問題がある」と警告する。
提供:株式会社アスタリスク・リサーチ
アイティメディア営業企画/制作:TechTargetジャパン編集部
ITmediaはアイティメディア株式会社の登録商標です。
