米国政府の対応策
こうした要求に対し、米国政府は4つの策を持って対応しようとしているという。一番大きいのは、政府としてサイバースペースの防衛は陸海空そして宇宙と同じくらいの重要性を持つことを認識、2009年6月に米国戦略司令部の下に「サイバーコマンド」の設置を決定、2009年10月より始動し、2010年の10月から本格活動を開始する予定としている。2つ目としては、これまで、国家安全保障局にはセキュリティ部分の強いリーダーシップは無かったが、人材を集め組織を強化するに至った点。
そして3つ目は、米国議会で13のセキュリティに関する法案が審議されており、その内の幾つかは通過する見込みであること。特に、サイバーセキュリティのプロを証明するために、免許制にすることについては、通過する可能性があるとされている。4つ目は、オバマ大統領が大統領府(ホワイトハウス)内にサイバーテロから国家を守るための専門官のポジションを創設するために、人選を開始していることを明らかにしており、その専門官を、「Cyber Czar(サイバー帝王)」と呼んで、自分の直属の側近として、政府関係諸機関の調整を実行していく予定としていることである。
また、政府の取り組みだけではなく、一般企業においても今後のセキュリティを考える必要があると指摘しており、「一番の問題はユーザに悪意のあるソフトを埋め込むWebサイトへの対応と、そうした欠陥のあるソースコードを書くプログラマに対する対応策」(同)を考える必要があるとする。
この訪問したWebサイトから悪意のあるソフトを埋め込まれるという問題だが、2008年1月には7万以上のサイトがすでに感染しているとされていたが、2009年5月の段階ではこれが100万サイトまで増加したという。「何故このようなことになったのかというと、多くのサイトに脆弱性が存在することに問題がある」(同)としており、2006年のデータと注釈をしていたが、訪問者の多いWebサイトの26%にSQLインジェクションの脆弱性が確認されたという。こうした脆弱性に対し、ハッカーはJavaスクリプトを埋め込み、これを活用して訪問者を他のサイトに誘導し、訪問者のPCに脆弱性がないかをチェックするという。「こうしたWebサイトは国連や政府などのWebサイトも含まれており、信用しきっている訪問者はあっという間に感染した」(同)とする。
|
|
どういった部分が被害を受けやすいのかの統計データ |
こうした現状に対し、米国農務省の取り組みが注目されるという。同省のプログラマは1人としてセキュアなソースの書き方を知らず、セキュアな意識を高めるという教育も行ったが、セキュリティの話はできるようになっても、どう問題を解決したらよいかには結びつかなかった。そのため、同省はすべてのプログラマに対し、実際にコードを書いて、どちらにエラーが入っており、どちらがセキュアなコードなのかを識別できるようなトレーニングを行うことで対応しようとしているという。
また、調達の仕方も変更を進めているという。同省のソフトのほとんどは外部委託されたものであり、そのためにソフトの納入の前にセキュリティエラーがないかのテストを実施し、プログラマ自身がセキュリティコードの書き方を学んでいることを証明することを必須とした。こうした取り組みは銀行でも真似し始めており、ソフト開発をインドや中国より調達する際に、契約書の中に導入前にソフトが標準ツールを用いて試験されていること、ならびにプログラマがセキュアコードを理解していることを証明することの2つの条件が含まれるようになったという。
