公開日:2007年9月26日
独立行政法人情報処理推進機構
セキュリティセンター
本ページの情報は2007年9月時点のものです。
記載の資料は資料公開当時のもので、現在は公開されていないものも含みます。
脆弱性対策をどの工程で行うかということは重要なことである。例えば、ソースコードが書かれた後でそれを検査するというやり方でも一定の効果が得られるが、ソースコード中に脆弱性を見つけたときにはすでに数多くのものが存在していて、対処に多くの時間とコストがかかり過ぎるおそれがある。
このコンテンツで提案したいのは、より予防的なコーディングをしようというものである。
脆弱性を減らすためのコーディングスタイルや、設計における考慮事項を開発プロジェクトが持ち、そのパターンから外れているものを「問題として認識し是正する」活動を行うことによって、最終的に作られるソフトウェアにおける脆弱性の発生を低く抑えるというものである。
従来型の開発プロジェクトにおいて脆弱性が見つけ出されるのは、プログラムのコードが書かれ、リリースする前のテストの段階であることがしばしばである。この段階での脆弱性が見つけ出され、修正される。ところが、その際の脆弱性の除去は十分でなく、リリース後の運用時に脆弱性の存在が次々と露見してゆく。
脆弱性を十分低減できないことの要因としては、大きくふたつがある。
その1は、脆弱性への対処を下流の工程で初めて行っているというものである。上流工程で問題を見つける工夫をしていないため、脆弱性発生の要因が隠れて存在していて、製品が形をなすにつれ多くの脆弱性が製品の中に入り込む。
その2は、脆弱性への対処が不十分なまま製品がリリースされがちだということである。工程の下流で脆弱性を見つけて修正する場合、ひとつ問題が見つかったときの修正コストが工程の下流になればなるほど増大。開発プロジェクトのリソースを十分投入できず、あらゆる問題を解消できないまま製品のリリース日を迎えるといった状況も世の中には存在している。
このコンテンツが提案するモデルは、ソフトウェア開発工程の上流の段階から、脆弱性の要因の除去につとめるものである。現実問題としてすべての問題を除去しきることは困難であるが、のちに大きな問題に発展しそうな脆弱性の芽を小さなうちに摘んでおくことには大きな効果がある。
上流工程で脆弱性の要因を見つけ出して対処することにより、全体として下流工程に現れる脆弱性の数を少なく抑えることを狙う。
脆弱性を生みにくい設計や実装のありかたについての知識を収集し、活用することによって実現する。本コンテンツはこうした知識を集めたものである。
実際には問題をすべてつぶすことはできず、問題が潜在したまま下流工程に送られるものもあり得る。そうしたもののいくつかはテスト工程でも見逃され、リリース後の製品の中で脆弱性が見つかるといったことは皆無とはいえない。
それでも、上流から脆弱性の要因をつぶす工夫をすることによって、脆弱性をより少ないものに抑えるという効果が期待できる。
また、脆弱性の要因に早めに対処するにあたり、各工程でツールを活用することも、脆弱性要因の検出と対策に関する生産性・網羅性・精度の向上に寄与する。
このコンテンツでは、C言語、C++言語を中心としたプログラミングに関する脆弱性対策論点として約40のアーティクルを記述している。これらのアーティクルは次の10のカテゴリに分かれている。
それぞれの論点はあるひとつの開発工程にのみ関連するものではなく、要件定義、設計、実装、テストという工程の流れ──これは必ずしも時間の流れではなく、抽象から具象への流れである──に沿って広がっている。
論点はどれかの上流の工程との関わりから始まり、実装、テストといった下流の工程にどれもが流れ込んでいる。
例えば、アクセス制御や、セッション管理等の論点は、対象のソフトウェアがどのようなセキュリティ対策機能をもつべきかを要件定義の段階から考慮しておく必要があり、「要件定義」から「実装」まで関連する工程の広がりが大きい。その一方で、フォーマット文字列攻撃対策の場合、これは「実装」の段階で実施すれば一定の効果が期待できるものであり、工程の広がりは比較的小さい。
開発の現場においてはさまざまな形態があり得るが、本コンテンツではソフトウェアの開発工程を大まかに次のように想定している。
このコンテンツの各アーティクルと開発工程との関連は次の図のようなものである。
これらの関連を工程別に記すと、次のようになる。