各業種の企業が自社サービスのIT化に取り組む中、開発における不注意が重大なセキュリティリスクにつながりかねない。トヨタ自動車もその例外ではなかった。安全性を強化するには。
ソースコードが約5年間、ソースコード共有サービス「GitHub」に誤って公開され、ユーザーのメールアドレスと「お客様管理番号」が漏えいした可能性がある――。トヨタ自動車のコネクテッドサービス「T-Connect」で発生したミスだ。原因は人為的なものだったため、防ぐのが難しかったとセキュリティ専門家は指摘する。中には同社に対して「オープンソースソフトウェア(OSS)から学んでほしい」と助言する専門家もいる。なぜなのか。
セキュリティベンダーBarrier NetworksでCISO(最高情報セキュリティ責任者)を務めるジョーダン・シュローダー氏は、「開発過程におけるセキュリティの不備が、サービスのIT化を進める企業にとっての課題になる」と指摘する。セキュリティの不備によってユーザーが被害を受ければ、信用の低下につながる恐れがある。
企業はソースコードや、アクセスキーといった機密情報の管理を改善する必要があるとシュローダー氏は指摘する。「トヨタ自動車の今回の事件でも、これらのデータが攻撃者に流出している可能性は否定できない」(同氏)
シュローダー氏によると、企業はセキュリティの弱点に対処するには、アクセスキーをソースコードには含めず、安全なサーバから引き出すようにする必要がある。開発環境を非公開化して、不特定多数からアクセスされないようにするとともに、ソースコードの漏えいを示すコードスニペット(短いソースコードのまとまり)がインターネットに出回っているかどうか検索することも重要だ。
データ処理ツールを手掛けるAivenでオープンソースエンジニアリングディレクターを務めるジョゼップ・プラット氏によれば、トヨタ自動車の今回の事件は、いかにセキュリティを強化しても人間の脆弱(ぜいじゃく)性のリスクが残ることを示している。人間のミスによってソースコードが誤って公開される事件は以前にも発生しており、「システムだけでは防ぎ切れない」とプラット氏は述べる。
プロプライエタリソフトウェア(ソースコード非公開のソフトウェア)の開発においては「OSSから多くの教訓を得ることができる」とプラット氏は説明する。OSSでは、ソースコードを「誰でも入手できる」ことが前提になっているため、セキュリティ機能を強固にすることが“セット”になる。「プロプライエタリソフトウェアでもOSSと同じようなセキュリティの仕組みを取り入れれば、仮にソースコードが流出したとしても、攻撃者はそれを悪用するのに非常に苦労することになる」(同氏)
米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。
Z世代が考える「日本が最も力を入れて取り組むべき課題」1位は「ジェンダー平等」――SHIBUYA109 lab.調査
SDGsで挙げられている17の目標のうち、Z世代が考える「日本が最も力を入れて取り組むべき...
高齢男性はレジ待ちが苦手、女性は待たないためにアプリを活用――アイリッジ調査
実店舗を持つ企業が「アプリでどのようなユーザー体験を提供すべきか」を考えるヒントが...
IASがブランドセーフティーの計測を拡張 誤報に関するレポートを追加
IASは、ブランドセーフティーと適合性の計測ソリューションを拡張し、誤報とともに広告が...
ITmediaはアイティメディア株式会社の登録商標です。
