ここから本文です

IoTがサイバー攻撃を受けたら誰が責任を取るのか

7/21(金) 6:00配信

ダイヤモンド・オンライン

 サイバーセキュリティが話題に上らない日はない。安全にするための取り組みは様々だが、アプリケーションやソフトウェアを作成する開発者がセキュリティを最初から念頭に置くことが重要だ、と信じるのが非営利団体OWASP(Open Web Application Security Project)のTobias Gondrom氏だ。Gondrom氏にモバイルやIoTのセキュリティ、セキュリティ人材不足などについて話を聞いた。

● 次々と襲う脅威にどう対処するか

 ――OWASPについて教えてください。

 設立は2000年、世界中のセキュリティ専門家がセキュリティが関連する情報、アイディア、知識を共有することを目的に立ち上がったオープンソースのコミュニティだ。それまで、セキュリティ問題を開示すると他の人が悪用するかもしれない、と専門家らは共有に後ろ向きだった。OWASPはそこに、オープンな原則を持ち込んだ。

 個人メンバーは4万4000人近くおり、世界に230の“チャプター”つまり支部がある。日本は活発な地域の1つで、東京と関西で年に数回開催されるチャプターミーティングは毎回満員。チャプターミーティングは新しいセキュリィの問題、悪用コード、システムの分析手法、防御の方法など、アプリケーションやWeb技術をどのようにして安全にするかについて話し合っている。

 OWASPは約130のオープンソースプロジェクトを擁するが、最も有名なのが「OWASP Top 10」だ。Web、アプリケーション分野でのセキュリティリスク上位10をリストしたもので、クレジットカード団体のPCIDSS(Payment Card Industry Data Security Standard)など様々なところで引用、参照されている。

 ――脅威は次々と現れ、その手法の移り変わりも激しい。どうやって攻撃者のペースに追いつくのですか?

 ボトムアップなので、コミュニティから問題が提起されるとすぐにプロジェクトとなる。

 例えばモバイル。5年ぐらい前に誰かがモバイルのセキュリティを考える必要があると提案すると、すぐにプロジェクトが立ち上がり、1~2週間後にモバイルセキュリティのガイドライン設計が始まった。IoTも同じだ。ある程度成熟すると、次の新しいトピックに移る。

 その点から、OWASPはプラットフォームの役割も持つ。たくさんの人が参加しており、オープンでダイナミックなので簡単にセキュリティの進化と歩調を合わせることができる。標準化団体なら1年かかるところだが。

1/5ページ

記事提供社からのご案内(外部サイト)

特集 自衛隊 防衛ビジネス
本当の実力
特集2 支持率低迷で正念場
徹底検証アベノミクス