企業のセキュリティ対策の専門家や学術研究者、政府関係者らで構成されるNational Cyber Security Partnership(NCSP)は4月1日(米国時間)に発表した報告書の中で、ソフトウェアのセキュリティ強化を図るために、プログラマーの資格制度の創設と教育の改善に加えて新たな法律も制定する必要があるとの提言を行った。
NCSPは今年の3月から4月にかけて5つの報告書を発表する予定で、今回の報告書はその3番目にあたる。同報告書では、各ソフトウェアメーカーに向けて、自社製品のセキュリティ強化を徹底させるための奨励策のほか、開発者教育、ソフト開発、パッチ開発などの改善を提言している。
Microsoftのチーフ・セキュリティ・ストラテジストでSecurity Across the Software Development Life Cycle Task Forceの共同議長を務めるScott Charneyは、企業が開発するソフトウェアの品質向上のためには、広範な取り組みが必要だと指摘した。
「ソフトのセキュリティ対策に特効薬はない」(Charney)
NCSPはサイバーセキュリティの強化を目的として、民間、学会、公共の各部門からセキュリティの専門家を集めて2003年末に設立された。同組織は5つの作業部会に分かれており、それぞれが特定の問題を集中的に扱っている。各作業部会が扱っている問題は、パソコンユーザーや小規模事業者のセキュリティに対する意識の向上、サイバーセキュリティ早期警戒システムの確立、情報セキュリティをコーポレートガバナンスの一部分とすること、セキュリティ強化のための技術的最善策の提唱、ソフト開発プロセスにセキュリティ面からの検討を含めることの5つだ。
他の2つの作業部会であるAwareness and Outreach Task ForceとCyber Security Early Warning Task Forceも3月末にそれぞれ報告書を発表した。
Security Across the Software Development Life Cycle Task Forceが4月1日に発表した報告書の中で示しているのは、教育イニシアチブとソフトウェア開発の向上、パッチ開発時に注意すべき10項目の課題、さらに企業に同作業部会の勧告を受け入れさせるための奨励策という4つの推奨事項だ。
同作業部会は、セキュリティ教育の取り組みの一環として、米政府に対し、計算機科学専門の教授や大学卒業者を対象としたセキュリティ分野の教育を進めることを提案している。また、同作業部会の管理組織であるBusiness Software AllianceのセキュリティアドバイザーJim Cohlenbergerは、新たな資格の創設が必要不可欠だと指摘した。
「現在ある資格はIT管理者向けの要素が強いが、私が言っているのはソフト開発者向けの資格のことだ」(Cohlenberger)
この提言が実現すれば、ソフト開発プログラマーは、人気の高いアプリケーション開発を手掛ける企業に就職したいと思ったら、必要な資格を有料で取得する必要性が出てくる可能性がある。
また、同作業部会は、プログラムの脆弱性を最小限に抑える開発手法を見出すためのソフト開発プロセスの研究をするよう求め、最高のソフトを生み出すこれらの開発プロセスを各プログラマーに指導し、さらに政府がそれを認定すべきと勧告した。
また同作業部会はパッチ開発時に注意すべき10項目の課題を挙げ、各企業に対し既存ソフトをアップデートする際は必ずこれらの項目に従うよう促した。また勧告では、企業に対して、パッチプログラムは出荷前に必ずテストすること、パッチサイズを小さくして容易にインストールできるようにすること、さらに問題が発生した場合は確実にアンインストールできるようにすることを求めている。
最後に同作業部会はNCSPに対し、企業に新しいソフトウェア開発手法の採用を促す制度を確立するよう提言した。この中には、セキュリティ対策の達成度をプログラマーの能力を評価する基準に加えること、セキュリティ分野の最も優れた開発や革新的な教育者に授与される賞の創設が含まれている。さらに同作業部会は、サイバー犯罪の摘発につながる情報を提供した人に対する広範な報奨金制度の創設も求めた。
政府の措置?
おそらく最も意外な勧告は、「米政府は、自ら策定したセキュリティ強化策の効果を検証すべき」というものだろう。報告書には、「(米国土安全保障省は)責任や義務とその免除、規制と規制改革、税制上の優遇措置、訴追の促進、研究開発、教育、その他の奨励策といった選択肢を検証すべきである」と記されている。
この勧告は新たな立法を要求しているようにも取れるが、BSA(Business Software Alliance)のCohlenbergerはこのような提案を行った目的について概略の説明をするにとどまった。
Cohlenbergerは「極めて重要なインフラなどのセキュリティについて、国家安全保証上必要なものと実際に存在するものとの間に格差がないか見極める必要がある」とし、さらに格差がある場合は、政府が何らかの「措置」を講じることが望ましいと語った。
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」