セキュリティ・アディッショナルタイム(13):「CodenomiCON」に見た海の向こうのセキュリティ、日本との違い (1/2) - @IT

(情報元のブックマーク数

高橋さんの記事。CodenomiCON。

CodenomiCONのセッションは、Black HatやDEF CONのようなプレゼンテーション形式ではなく、第一線の専門家を招いてのパネルディスカッションが中心だ。ステージには、2015年のBlack Hatでジープ・チェロキーに対するハッキングを披露して一躍有名になったチャーリー・ミラー氏やクリス・ヴァラセク氏をはじめとする第一線のセキュリティ研究者の他、政府や業界団体でセキュリティ政策に携わった経験を持つ専門家が多数登場し、率直な意見を交わした。

「CodenomiCON」に見た海の向こうのセキュリティ、日本との違い (1/2):セキュリティ・アディッショナルタイム(13) - @IT

今や、パネルディスカッションのテーマとなった「医療機器」や「車」はもちろん、IoT(Internet of Things)や重要インフラなど、ありとあらゆる仕組みがIT、つまりはソフトウェアに依存している。そして、日本でも指摘され始めていることだが、こうしたソフトウェアのバグや脆弱性をゼロにすることはできない。CodenomiCONで発言した専門家らはこの事実をもはや「当たり前」のこととして捉えた上で、「いかにリスク管理を実現するかという観点で問題に取り組む必要がある」と述べた。

「CodenomiCON」に見た海の向こうのセキュリティ、日本との違い (1/2):セキュリティ・アディッショナルタイム(13) - @IT

自動化というのは確かにそうだよな。誰がやるかというのは別として。

ただ、米国流がひと味違うのは、こうした取り組みを進めるに当たって「人間が頑張りましょう」だけで終わらないところだ。そもそも、あらゆる機器がソフトウェアに依存し、コードの絶対量が増加している今、人手でそれら全てをチェックし、適切にセキュリティを織り込んでいくのは限界がある。「全て人手でやるのは非現実的。セキュリティのベストプラクティスをツールに反映し、プロセスの中に取り込むなど、できるところは自動化すべき」という趣旨のコメントが、複数のパネリストから聞かれた。
 もう1点、米国がしたたかなのは、ツールに反映すべき「標準」の策定を戦略的に進めていることだ。医療業界ではFDAが、車業界ではSAEが、脆弱性を試験してセキュリティを確保するための標準作りを進めている。さらに、「ソフトウェアがその標準に準拠しているかどうかをテストするための標準を策定する」というところまで戦略を立てて取り組んでいる。ただ「セキュリティは大切だ」と訴えるだけで終わらせないすごみがある——ここにもう1つ、彼我の大きな差を感じた。

「CodenomiCON」に見た海の向こうのセキュリティ、日本との違い (2/2):セキュリティ・アディッショナルタイム(13) - @IT

screenshot