• RSSフィード
  • Twitterフォロー
  • iGoogleに追加

【 ここから本文 】

セキュリティ

ソーシャルブックマークに登録 : Yahoo!ブックマークに登録 はてなブックマークに登録 del.icio.usに登録 newsing it!に登録 Buzzurlにブックマーク livedoorクリップに登録 Slashdotにタレコむ イザ!ブックマークに登録 Twitterでつぶやく
print 印刷用ページの表示

[世界]
セキュリティ専門家が「最も恐ろしいプログラミング・エラー・トップ25」を発表

深刻な脆弱性の原因となりサイバー犯罪に悪用される危険性“大”!

(2009年01月13日)

 2009年1月12日、米国をはじめとする各国のサイバー・セキュリティ組織に属する30名以上の専門家が、非営利調査団体SANS InstituteおよびMITREが統括する取り組みの中で、それぞれの意見をまとめたリストを発表した。同グループによれば、今回リストアップしたプログラミング・エラーは、いずれもセキュリティ・バグとしてコンピュータ・ネットワーク諜報活動やサイバー犯罪に悪用されるケースが頻発しているものだという。

「最も危険なプログラミング・エラー」のリストはhttp://www.sans.org/top25errors//http://cwe.mitre.org/top25/で閲覧できる

 同グループが発表した声明には、「プログラマーの多くは、これらのエラーの大半をきちんと理解していない。コンピュータ・サイエンスの授業でも、こうしたエラーを回避する方法を教えておらず、商用ソフトウェアを開発している企業であってもその存在を見逃してしまうケースがある。2008年には、たった2つのエラーが、合計150万件を超えるWebサイトのセキュリティ侵害事件を引き起こした。これらのセキュリティ侵害は、当該のWebサイトを閲覧したユーザーのコンピュータにも影響をおよぼし、攻撃者が操作できる『ゾンビPC』へと変えてしまった」と記されている。

 今回のリストでは、プログラミング・エラーが原因となるぜい弱性ではなく、「ソフトウェアの開発過程で生まれるプログラミング・エラーそのものに重点を置いている」と、同グループは説明している。

 『National Strategy to Secure Cyberspace』(出版:Diane Publishing)の主要著者であり、業界団体Software Assurance Forum for Excellence in Code(SAFECode)のエグゼクティブ・ディレクターでもあるポール・カーツ(Paul Kurtz)氏は、「このトップ25リストを活用すれば、家に押し入られてから警察の世話になるのではなく、侵入される前にドアにしっかりカギをかける時間が取れる」と有用性をたとえた。

 選定された25個のエラーは、「コンポーネント間の危険な通信(Insecure Interaction Between Components)」「リスクの高いリソース管理(Risky Resource Management)」「穴だらけの防御(Porous Defenses)」の3カテゴリーに分類されている。「これらのよくありがちなエラーの一覧表は、開発中のソフトウェアの安全性を保つ際の指針になる」と、同グループは声明の中で主張している。

 SANSのディレクターを務めるメイソン・ブラウン(Mason Brown)氏は、「何よりもまず、すべてのプログラマーに、このトップ25リストに載っているエラーを含まないコードを記述する方法を周知徹底させる必要がある。さらには、あらゆるプログラミング・チームに、これらの問題を発見・修復もしくは回避するためのプロセスを踏ませ、自動ツールのチェックを受けたものと遜色ないほど、自分のコードにエラーが少ないことを立証するツールを使用させねばならない」と述べた。

 最終的にこのトップ25リストは、「消費者にとっては安全なソフトウェアを購入できるという恩恵に、大学などにとっては安全なコーディングを自信を持って教えられるという教育的効果に、企業経営者にとってはより安全なコードを開発するプログラマーを雇用できるという利点につながる」と、同グループは説明する。同種のリストに「OWASP(Open Web Application Security Project) Top Ten」があるが、今回のトップ25リストはこれにテコ入れをしたものであり、競合しているわけではないと同グループの関係者は説明している。OWASP Top TenがWebアプリケーションにのみ焦点を絞っているのに対し、トップ25リストはすべてのソフトウェアを対象としている。

 同リストは、http://cwe.mitre.org/top25/およびhttp://www.sans.org/top25errors/から参照可能。エラーの内容に加え、これを回避するプログラマー向けのガイダンスも掲載されている。

 今回のプロジェクトには、複数の専門家や組織が協力した。最初にプロジェクトの舵取りをしたのは、米国国家安全保障局(National Security Agency:NSA)である。MITREのプロジェクトに参加したエンジニアに対しては、国土安全保障省の国立サイバー・セキュリティ局が経済的支援を行った。

(Joan Goodchild/CSO米国版)

関連記事

▲ページの先頭へ戻る

Insight

グーグル・ストリートビューの法的問題を考える

とことんわかりにくい法律を とことんわかりやすく解説!

Insight 記事一覧

key Person

ワンビの遠隔消去ソリューション「トラストデリート」

モバイルPCを安心して持ち出せる環境を提供したい

key Person記事一覧

Weekly Ranking

集計期間:02/03〜02/09

Computerworld Global
米国
英国
中国
ドイツ
オーストラリア
シンガポール
その他の国