HeartbleedバグはOpenSSLに極めてポジティブな影響をもたらしたこれからも派手なバグが登場するだろう

IT業界に大きな影響を及ぼしたOpenSSLのHeartbleedバグ。セキュリティ企業Rapid7のビアズリー氏は、これを「ポジティブな影響」と評価する。Heartbleedバグはどのような影響をもたらしたのだろうか?

2015年10月08日 08時00分 公開
[Warwick AshfordComputer Weekly]
Computer Weekly

 2014年4月、「OpenSSL」の幾つかのバージョンの暗号化ライブラリに「Heartbleed」の脆弱(ぜいじゃく)性が見つかった。だが、セキュリティ企業の米Rapid7は、この発見の影響を肯定的に捉えている。

Computer Weekly日本語版 10月7日号無料ダウンロード

本記事は、プレミアムコンテンツ「Computer Weekly日本語版 10月7日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。

なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。

ボタンボタン

 同社でセキュリティエンジニアリングマネジャーを務めるトッド・ビアズリー氏は「一流ブランドに大きなバグがあったということでOpenSSLに注目が集まるのなら、もっと早く発覚していればと思わずにはいられない」と話す。

 同氏は、米ラスベガスで開催されたハッキングカンファレンス「DEF CON 23」でComputer Weeklyのインタビューに答えて、Heartbleedの影響を「極めてポジティブ」に捉えていると語った。

 Rapid7でオープンソースソフトウェア(OSS)フレームワークの「Metasploit」に携わっているビアズリー氏によると、Heartbleedの発見以降、OpenSSLに少なくとも2つのフォークが誕生したという。1つは、米Googleが独自にリリースした「BoringSSL」。もう1つは、OpenBSDのプロジェクトメンバーが立ち上げた「LibreSSL」だ。

 「個人的には、フォークの誕生を歓迎する。『真のバージョン』が分からなくなるという理由でソフトウェアのフォークには批判的な意見が多いが、ユーザーが使用しているもの全てが『真のバージョン』ではないだろうか」と同氏は話す。

 Heartbleedの欠陥が発見されたことによってOSSのセキュリティが注目を集めるようになった。そのポジティブな影響の1つが、OpenSSLフォークの誕生だと同氏は考える。

 「OpenSSLの標準ライブラリが商用製品で、実際には1人の開発者または単独のソフトウェア開発チームだけが管理していたとしたら、事態はもっと深刻だったはずだ」とビアズリー氏は言う。

 「ある銀行はOpenSSLを使用していなかったのでHeartbleedの影響を受けなかったが、独自の暗号化システムを使用しているため、どのようなバグを誰が把握しているのか分からない」

Copyright © ITmedia, Inc. All Rights Reserved.

隴�スー騾ケツ€郢晏ク厥。郢ァ�、郢晏現�ス郢晢スシ郢昜サ」�ス

製品資料 フォーティネットジャパン合同会社

クラウドに必要な「データドリブンなセキュリティ」を実現する方法とは?

クラウド利用が当たり前となった今日、セキュリティ対策もまたクラウド環境に適したものでなくてはならない。とはいえ、大量のデータポイントが生成されるクラウド領域にあって、その全てのポイントを網羅するのは並大抵のことではない。

製品資料 TIS株式会社

Web攻撃総数の2割以上が狙うAPI、適切な管理とセキュリティ対策を行うには?

ビジネスでのAPI利用が進むにつれ、そのAPIを標的としたサイバー攻撃も増加している。それらに対抗するためには、「シャドーAPI」や「ゾンビAPI」を洗い出し、セキュリティ対策を徹底する必要がある。その正しい進め方を解説する。

製品資料 Okta Japan株式会社

アイデンティティー管理/保護の注目手法、「IGA」とは何か?

ある調査で企業の61%がセキュリティ優先事項のトップ3に挙げるほど、重要度が高まっているアイデンティティー管理・保護。その中で昨今注目されているのが「IGA」というアプローチだ。そのメリットや、導入方法を解説する。

製品資料 株式会社エーアイセキュリティラボ

AIで人材不足を解消、セキュリティ担当者のためのDXガイド

DX推進によってさまざまなビジネスシーンでデジタル化が加速しているが、そこで悩みの種となるのがセキュリティの担保だ。リソースやコストの制限も考慮しながら、DXとセキュリティを両輪で進めるには何が必要になるのか。

製品資料 パロアルトネットワークス株式会社

セキュリティ運用を最適化し、SOCの負担を軽減する「SOAR」とは?

サイバー攻撃が巧妙化し、セキュリティチームとSOCは常に厳戒態勢を取り続けている。さらにデジタルフットプリントの拡大に伴い、セキュリティデータが絶え間なく往来する事態が生じている。このような状況に対応するには、SOARが有効だ。

郢晏生ホヲ郢敖€郢晢スシ郢ァ�ウ郢晢スウ郢晢ソスホヲ郢晢ソスPR

From Informa TechTarget

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。

HeartbleedバグはOpenSSLに極めてポジティブな影響をもたらした:これからも派手なバグが登場するだろう - TechTargetジャパン セキュリティ 隴�スー騾ケツ€髫ェ蛟�スコ�ス

ITmedia マーケティング新着記事

news014.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news046.png

「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

news026.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...