トヨタのソースコード流出事件 再発防止のヒントはなぜ「OSS」にあるのか:「T-Connect」個人情報漏えいか【後編】
各業種の企業が自社サービスのIT化に取り組む中、開発における不注意が重大なセキュリティリスクにつながりかねない。トヨタ自動車もその例外ではなかった。安全性を強化するには。
ソースコードが約5年間、ソースコード共有サービス「GitHub」に誤って公開され、ユーザーのメールアドレスと「お客様管理番号」が漏えいした可能性がある――。トヨタ自動車のコネクテッドサービス「T-Connect」で発生したミスだ。原因は人為的なものだったため、防ぐのが難しかったとセキュリティ専門家は指摘する。中には同社に対して「オープンソースソフトウェア(OSS)から学んでほしい」と助言する専門家もいる。なぜなのか。
OSSから学ぶべき「ソースコード流出を前提にしたセキュリティ対策」とは
併せて読みたいお薦め記事
連載:「T-Connect」個人情報漏えいか
ソースコードを巡るセキュリティリスクとは
セキュリティベンダーBarrier NetworksでCISO(最高情報セキュリティ責任者)を務めるジョーダン・シュローダー氏は、「開発過程におけるセキュリティの不備が、サービスのIT化を進める企業にとっての課題になる」と指摘する。セキュリティの不備によってユーザーが被害を受ければ、信用の低下につながる恐れがある。
企業はソースコードや、アクセスキーといった機密情報の管理を改善する必要があるとシュローダー氏は指摘する。「トヨタ自動車の今回の事件でも、これらのデータが攻撃者に流出している可能性は否定できない」(同氏)
シュローダー氏によると、企業はセキュリティの弱点に対処するには、アクセスキーをソースコードには含めず、安全なサーバから引き出すようにする必要がある。開発環境を非公開化して、不特定多数からアクセスされないようにするとともに、ソースコードの漏えいを示すコードスニペット(短いソースコードのまとまり)がインターネットに出回っているかどうか検索することも重要だ。
データ処理ツールを手掛けるAivenでオープンソースエンジニアリングディレクターを務めるジョゼップ・プラット氏によれば、トヨタ自動車の今回の事件は、いかにセキュリティを強化しても人間の脆弱(ぜいじゃく)性のリスクが残ることを示している。人間のミスによってソースコードが誤って公開される事件は以前にも発生しており、「システムだけでは防ぎ切れない」とプラット氏は述べる。
プロプライエタリソフトウェア(ソースコード非公開のソフトウェア)の開発においては「OSSから多くの教訓を得ることができる」とプラット氏は説明する。OSSでは、ソースコードを「誰でも入手できる」ことが前提になっているため、セキュリティ機能を強固にすることが“セット”になる。「プロプライエタリソフトウェアでもOSSと同じようなセキュリティの仕組みを取り入れれば、仮にソースコードが流出したとしても、攻撃者はそれを悪用するのに非常に苦労することになる」(同氏)
Computer Weekly発 世界に学ぶIT導入・活用術
米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.