2017年2月22日

2017年2月22日

2017年2月22日(水)

セキュリティ文化大革命を

 経済産業省
 サイバーセキュリティ・IT化審議官 伊東 寛

    

 皆さんご案内の通り、サイバーセキュリティに関わる現状は悪者が優位であり我々の対策はいつも後追いで後手に回っていると言わざるを得ません。
 
 この原因の一つに、今、社会で普通に使われているソフトウエアには、ユーザーの手に渡った段階でもまだバグや脆弱性が含まれているというのが実態だからということがあると思います。そして、悪者達はそのような問題点を見逃しません。
 
 ソフトウエア生産の現場では、取り敢えず、受注した製品を納期に間に合うように納品し、仮に問題が残っていても、それはその後でパッチを当ててなんとかする。これがソフトウエア産業の実態であるように思います。
 
 無理もありません。理不尽な仕様変更や、厳しい納期。人出は足りないし、環境は劣悪。このような中で、プログラムの作成は、まず製品が動くこと、次いで見栄えと使い勝手を良くしたところで大体時間切れ納品となっているのではないでしょうか。
 
 しかし、これでは製品がユーザーの手に渡った後、バグ、そして脆弱性が残ったままのソフトが世に出回っているということになります。
 
 ところで、自動車産業ではどうでしょうか。
 
 運転中にハンドルが抜けたりブレーキが効かなくなったりするような車を作っていると考えている工員さんはいないでしょう。お客様の安全安心に対し、誇りと自負を持って仕事をしているのではないかと思います。自動車産業では、安全安心な製品を作るのが当たり前で、それが一種の文化になっているように思えます。
 
 であるならば、ソフトウエア産業においても、この安全安心な製品を世に送り出しているのが当然という文化を育てたいものだと思いませんか。100%バグのないソフトを作ることは無理でしょうが、それを目指し、そうありたいと考えるのが普通であるようになれば。
 
 まず、仕様書レベルでセキュリティに関する項目があるのが当たり前、製造過程ではセキュアコーディングが当たり前。検査工程では残っていたバグを残らず駆逐する/しようとするのが当たり前。こういうことが業界の当たり前、すなわち、文化になれば、製品の脆弱性は少なくなり、より安全な安心なインターネット社会に近づくのではないかと思うのです。
 
 もちろん、このようなことを現場だけに押し付けてはなりません。上下全ての意識改革を持って前進しなければならないのは当然のことです。
 
 いずれにせよ、これからそういう文化をみんなで作っていきませんか。セキュリティはセキュリティ担当者だけの仕事ではなく、ソフトウエアを作るみんなの当たり前。そうなりましょう。
 
 セキュリティ人材の不足が訴えられています。もちろんこのような人材を今後、あらゆる場面で育てていくのですが、それだけではなく、そもそもソフトウエア人材の意識を変えていくこと。これもまた、セキュリティ強化の一つの方策、それもある意味、抜本的な方策であると考えるところです。
 
 ソフトウエア産業界に於いて安心安全が文化となること。これが今、あちこちで行われているセキュリティ専門家の育成と相まって、日本のセキュリティの安心安全への道になるのではないか、そう思っています。
 
 一緒に、業界の意識改革、いわばセキュリティ文化大革命にチャレンジしましょう。
 

※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。