SANS、ソフトウェア開発者向けの新たなセキュリティ試験を実施へ

　Secure Programming Council（セキュアプログラミング委員会）は米国時間11月20日、セキュアプログラミングに関する開発者の知識を企業が評価するための標準を提唱した。その目的は、企業のソフトウェアアプリケーションを開発する担当者が、社内の技術者であるか、アウトソーシング先の技術者であるかにかかわらず、あらゆる面でセキュアなソフトウェアアプリケーションを開発するための基本的な知識を有していることを企業が確信できるような状況を生み出すことにある。

　同委員会は6つの標準化イニシアティブにおける最初の成果物として、「Essential Skills for Secure Programmers Using Java/JavaEE（PDFファイル）」（Java/JavaEEを用いるセキュアプログラマーに必要とされる基本的なスキル）を公表した。そして同委員会は今後、CやC++に加えて、.NETで用いられる言語やPHP、Perlのセキュアプログラマーに必要なスキルも公表していく予定である。

　同委員会はJava/JavaEEに関して提唱した標準に対するパブリックコメントを、電子メールで60日間にわたって受け付けている。

　提案されている試験範囲の中にはデータ処理や認証、セッション管理、アクセス制御が含まれている。例えば、データ処理タスクとして、Javaプログラマーはインタフェースから入力を読み込み、そのデータを正しく検証した後で次の処理に引き渡すプログラムを記述できなければならない。また、プログラマーはクロスサイトスクリプティングやSQLインジェクションといった悪質な攻撃シナリオに関する知識にも精通していなければならない。

　Ounce Labsの共同創業者であり、同委員会のJavaおよびJavaEE運営委員会のメンバーでもあるRyan Berg氏によると、このスキル試験は開発者に対して、暗号とは何かという知識だけではなく、PKI暗号とその他の暗号形式の違いを理解しているかどうかを問うものとなっているという。

　SANS InstituteのリサーチディレクターであるAlan Paller氏によると、この標準の策定を支援するために、主に金融サービスや製造業、航空産業、軍事産業、アウトソーシング業界から40を超える企業や政府機関、セキュリティ会社が協力しているという。

　Paller氏は「ある大手金融機関はその開発者らに対して、8月1日までにこの試験に合格しない者はコードに1行たりとも触れられなくなると告げた」と述べ、「金融業界は失うものが最も大きいため、率先して取り組んでいる」と付け加えた。

　試験はSANSによって実施されることになっており、12月5日のロンドンを皮切りに、その後8カ月間で、米国と欧州の都市でも実施されることになっている。

　試験の費用は50ドル〜450ドル。学生から大企業の従業員などが試験の対象となっている。