脆弱性報告の多少はソフトウェアの安全性の指標にはならない

no extension

いや,今更こんなこと言うのもどうかと思うけど,いまだにこんなことを言ってくさる記事があるのですよ。

ちなみに Chrome がトップなのは驚くに値しない。 Chrome(というか Google)はここ1,2年くらいセキュリティ脆弱性の改善に努めていて,昨年の500を超える脆弱性報告はその成果と言えるものだ(しかも内容もメモリリークに関する軽微なものが多い)。

「スノーデン以後」の現在において,ソフトウェア分野ではセキュリティ脆弱性の改善が急務になっている。 セキュリティ脆弱性を放置しておくことは企業の機密や個人のプライバシーにとって直接的な脅威になり得るからだ。 昨年大騒ぎになった HeartBleed も ShellShock もそうした動向のひとつとして捉えることができる。 つまり現時点においてセキュリティ脆弱性の報告が多いことは,歓迎すべき事態なのである。

むしろ問題なのは,発覚したセキュリティ脆弱性に対してどうアクションをとるか,つまり security incident responce の良し悪しである。

これに関連して最近面白い記事が出ている。

米国では既に、サイバー攻撃はブロックできないという前提の下、攻撃を受けた際にどう対処すべきかという視点に立っているという。また、脅威への対策には組織間の情報共有が重要であると考えている。
これに対して、特に日本では、多くの企業がいまだにファイアウォールやウイルス対策に予算の多くを割いている。この考え方を改め、どうレスポンスするかを考えなければならないとした。「不正アクセスされても世間は許してくれる。対応が早ければ株価はあまり下がらない。一方で、対応に時間がかかったり対応しなかったりした企業の株価は下がる」(マコーマック氏)。
ニュース - 「サイバー脅威に適切に対応すれば評判は落ちない」、RSAが提言より

この記事では米国 NIST の NIST Cybersecurity Framework(CSF)を紹介している。 CSF は従来のセキュリティ対策フレームワークである SP800 シリーズの後継にあたるもので “Respond & Recover”までカバーしてるのが特徴らしい。

「サイバー攻撃はブロックできない」ということは,セキュリティはハザードではなくリスクで考えなければならない,ということである。 そしてリスクは系(system)全体で最小になるように最適化されなければならない。 水際対策にお金をかけすぎても駄目ということだ。 (まぁ私はずうっと前から「セキュリティはリスク」だと言ってるけどね

この話はベンダ企業というよりユーザ(個人や企業・組織を含む)寄りの話だが,ユーザがセキュリティをリスクの観点で「運用」するのであれば,ベンダ企業は今よりもっと incident responce に気を使う必要がある。 駄々をこねてモラトリアムを主張すべきではないし,ましてや自分の OS は安全だからストアからセキュリティ対策アプリを削除するなんて愚の骨頂である。

こういう企業の言動を私たちはちゃんと覚えておくべきである。

photo
セキュリティはなぜやぶられたのか
ブルース・シュナイアー 井口 耕二
日経BP社 2007-02-15
評価

暗号の秘密とウソ 新版暗号技術入門 秘密の国のアリス チャイナ・ハッカーズ 暗号解読―ロゼッタストーンから量子暗号まで 宇宙創成〈上〉 (新潮文庫)

日本語のタイトルはアレだが中身は名著。とりあえず読んどきなはれ。

reviewed by Spiegel on 2014/09/14 (powered by G-Tools)