各業種の企業が自社サービスのIT化に取り組む中、開発における不注意が重大なセキュリティリスクにつながりかねない。トヨタ自動車もその例外ではなかった。安全性を強化するには。
ソースコードが約5年間、ソースコード共有サービス「GitHub」に誤って公開され、ユーザーのメールアドレスと「お客様管理番号」が漏えいした可能性がある――。トヨタ自動車のコネクテッドサービス「T-Connect」で発生したミスだ。原因は人為的なものだったため、防ぐのが難しかったとセキュリティ専門家は指摘する。中には同社に対して「オープンソースソフトウェア(OSS)から学んでほしい」と助言する専門家もいる。なぜなのか。
セキュリティベンダーBarrier NetworksでCISO(最高情報セキュリティ責任者)を務めるジョーダン・シュローダー氏は、「開発過程におけるセキュリティの不備が、サービスのIT化を進める企業にとっての課題になる」と指摘する。セキュリティの不備によってユーザーが被害を受ければ、信用の低下につながる恐れがある。
企業はソースコードや、アクセスキーといった機密情報の管理を改善する必要があるとシュローダー氏は指摘する。「トヨタ自動車の今回の事件でも、これらのデータが攻撃者に流出している可能性は否定できない」(同氏)
シュローダー氏によると、企業はセキュリティの弱点に対処するには、アクセスキーをソースコードには含めず、安全なサーバから引き出すようにする必要がある。開発環境を非公開化して、不特定多数からアクセスされないようにするとともに、ソースコードの漏えいを示すコードスニペット(短いソースコードのまとまり)がインターネットに出回っているかどうか検索することも重要だ。
データ処理ツールを手掛けるAivenでオープンソースエンジニアリングディレクターを務めるジョゼップ・プラット氏によれば、トヨタ自動車の今回の事件は、いかにセキュリティを強化しても人間の脆弱(ぜいじゃく)性のリスクが残ることを示している。人間のミスによってソースコードが誤って公開される事件は以前にも発生しており、「システムだけでは防ぎ切れない」とプラット氏は述べる。
プロプライエタリソフトウェア(ソースコード非公開のソフトウェア)の開発においては「OSSから多くの教訓を得ることができる」とプラット氏は説明する。OSSでは、ソースコードを「誰でも入手できる」ことが前提になっているため、セキュリティ機能を強固にすることが“セット”になる。「プロプライエタリソフトウェアでもOSSと同じようなセキュリティの仕組みを取り入れれば、仮にソースコードが流出したとしても、攻撃者はそれを悪用するのに非常に苦労することになる」(同氏)
米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
