トヨタのソースコード流出事件 再発防止のヒントはなぜ「OSS」にあるのか「T-Connect」個人情報漏えいか【後編】

各業種の企業が自社サービスのIT化に取り組む中、開発における不注意が重大なセキュリティリスクにつながりかねない。トヨタ自動車もその例外ではなかった。安全性を強化するには。

2022年11月10日 05時00分 公開
[Alex ScroxtonTechTarget]

関連キーワード

脆弱性 | 情報漏えい | セキュリティリスク


 ソースコードが約5年間、ソースコード共有サービス「GitHub」に誤って公開され、ユーザーのメールアドレスと「お客様管理番号」が漏えいした可能性がある――。トヨタ自動車のコネクテッドサービス「T-Connect」で発生したミスだ。原因は人為的なものだったため、防ぐのが難しかったとセキュリティ専門家は指摘する。中には同社に対して「オープンソースソフトウェア(OSS)から学んでほしい」と助言する専門家もいる。なぜなのか。

OSSから学ぶべき「ソースコード流出を前提にしたセキュリティ対策」とは

会員登録(無料)が必要です

 セキュリティベンダーBarrier NetworksでCISO(最高情報セキュリティ責任者)を務めるジョーダン・シュローダー氏は、「開発過程におけるセキュリティの不備が、サービスのIT化を進める企業にとっての課題になる」と指摘する。セキュリティの不備によってユーザーが被害を受ければ、信用の低下につながる恐れがある。

 企業はソースコードや、アクセスキーといった機密情報の管理を改善する必要があるとシュローダー氏は指摘する。「トヨタ自動車の今回の事件でも、これらのデータが攻撃者に流出している可能性は否定できない」(同氏)

 シュローダー氏によると、企業はセキュリティの弱点に対処するには、アクセスキーをソースコードには含めず、安全なサーバから引き出すようにする必要がある。開発環境を非公開化して、不特定多数からアクセスされないようにするとともに、ソースコードの漏えいを示すコードスニペット(短いソースコードのまとまり)がインターネットに出回っているかどうか検索することも重要だ。

 データ処理ツールを手掛けるAivenでオープンソースエンジニアリングディレクターを務めるジョゼップ・プラット氏によれば、トヨタ自動車の今回の事件は、いかにセキュリティを強化しても人間の脆弱(ぜいじゃく)性のリスクが残ることを示している。人間のミスによってソースコードが誤って公開される事件は以前にも発生しており、「システムだけでは防ぎ切れない」とプラット氏は述べる。

 プロプライエタリソフトウェア(ソースコード非公開のソフトウェア)の開発においては「OSSから多くの教訓を得ることができる」とプラット氏は説明する。OSSでは、ソースコードを「誰でも入手できる」ことが前提になっているため、セキュリティ機能を強固にすることが“セット”になる。「プロプライエタリソフトウェアでもOSSと同じようなセキュリティの仕組みを取り入れれば、仮にソースコードが流出したとしても、攻撃者はそれを悪用するのに非常に苦労することになる」(同氏)

Computer Weekly発 世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

TechTargetジャパン トップ セキュリティ

新着ホワイトペーパー

製品資料 株式会社エーアイセキュリティラボ

最短10分で診断を開始、脆弱性診断の内製化を簡単に実現するツールとは?

自社のWebサービスやアプリの安全性をチェックする脆弱性診断は、これまでIT部門で担当することが多かったが、開発部門や事業部門でも実施したいというニーズが高まっている。求められているのは、より手軽な脆弱性診断ツールだ。

市場調査・トレンド ゼットスケーラー株式会社

従来型SD-WANはもう限界? 防御強化と運用簡素化を実現するゼロトラスト実践術

クラウドの活用や拠点の分散が進む中で、従来型SD-WANの脆弱性がランサムウェア攻撃を増大させる一因になっている。今こそゼロトラスト型アーキテクチャのアプローチが求められているといえるだろう。本資料では、その方法を解説する。

製品資料 伊藤忠テクノソリューションズ株式会社

シングルベンダーSASEリーダーのNetskopeの実力とは?

企業のITシステムがクラウドに移行するに伴い、サイバー脅威のリスク増大やネットワークパフォーマンスの低下が問題視されている。そこで本資料では、世界の50以上の地域にデータセンターを擁するNetskope SASEソリューションを紹介する。

市場調査・トレンド HENNGE株式会社

約2分の動画で分かる:ゼロデイ攻撃への対策が難しい理由と有効な予防策

ネットワークの機器やソフトウェアなどの脆弱性を突く手法であるゼロデイ攻撃は、修正プログラムがリリースされるまでの期間に攻撃を行うため、抜本的な対策が難しいといわれている。本動画では、その理由と有効な対策を紹介する。

製品レビュー HENNGE株式会社

2分で分かる、期限切れドメインを悪用する「ドロップキャッチ」の手口と対策

事業者が運用してきたドメインを手放した直後に、第三者がそれを取得し、偽サイトなどを公開して悪用する「ドロップキャッチ」という攻撃の手口がある。このような不正を未然に防ぐための対策を、2分弱の動画で解説する。

会員登録(無料)

8000点以上の技術資料や導入事例など、IT導入の課題解決に役立つ情報を入手できます。

From Informa TechTarget

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。

アクセスランキング

2025/05/25 UPDATE

  1. 「身代金を支払う」以外のランサムウェア対策は本当にあるのか?
  2. パスワードより安全で覚えやすい「パスフレーズ」の作り方
  3. “複雑なパスワード”より「パスフレーズ」を専門家が勧める理由
  4. 脆弱性識別子「CVE」に突如として訪れた“存亡の機” これからどうなる?
  5. macOSのデフォルト無効の「ファイアウォール」を使うべき理由とは?
  6. セキュリティツール開発が訴訟リスクに? Metaの242億円勝訴で走る“激震”
  7. Androidスマホが示す7つの“危険な兆候”とは? 今すぐやるべきマルウェア対策
  8. Appleをだます“あの詐欺”の手口と危険性
  9. どれだけできている? まさかの「データ流出」を防ぐ“11個の要点”
  10. ランサムウェア対策は本当に万全? バックアップの見直し7大ポイント

プレミアムコンテンツ

Windows 10「なぜか遅い」はあれが原因だった?

Windows 10「なぜか遅い」はあれが原因だった? ダウンロード
» プレミアムコンテンツライブラリへ

ITmedia マーケティング新着記事

news027.png

「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

news023.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...

news025.png

「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。

ログイン
会員登録
パスワード再設定
よくあるご質問
TechTargetジャパンとは
お問い合わせ
広告掲載について
利用規約
サイトマップ
初めての方