C/C＋＋セキュアコーディングスタンダード有効性評価など公開、JPCERT/CC

JPCERT/CC は2008年7月7日、昨年度の調査・研究結果の成果を公表した。インフラや産業装置などの制御系プロトコルから、標的型攻撃への対策研究など幅広い分野にわたり情報を公開。それぞれの資料は同センターの Web サイトで閲覧・ダウンロードできる。

■制御系プロトコル分野の動き
制御系プロトコルに関する調査研究報告では、ベンダー固有の技術からオープン化への動きによる脆弱性の拡大傾向を明らかにした。通信の IP 化や、TCP/UDP、あるいは産業用 Ethernet の技術的発展、汎用 OS 採用の増加により、隔離されていた制御系プロトコルが一般にインターネットと接続される場合もみられることが指摘された。これらにより、脆弱性の影響が広くおよぶ環境が広がりつつあるという。

同センターによると、コスト削減圧力の高い建物防犯システムなどでは、Windouws 系や Linux 系の OS が採用される場合も増えつつあるようだ。

制御系プロトコル分野では、国内の制御系コミュニティがどのように取り組んでいるのかということも調査。オープン化についても、動きは見られるものの、産業装置や電力などの分野ではベンダー固有のものを用いており、現状は産業分野によってバラつきがあるとしている。

■ソフトウェアの脆弱性発生を事前に抑えるコーディングルール
同法人はソースコード解析ツールを活用した CERT セキュアコーディングルールの有効性評価報告書も公開した。ソフトウェアの脆弱性の原因となるプログラミングエラーを少なくするセキュアコーディングルールを紹介。

米国 CERT/CC が「CERT C/C＋＋セキュアコーディングスタンダード」を開発、公開しており、これをセキュアコーディングのルールとして紹介。JPCERT/CC では、同規格の今後翻訳や整備を行い、9、10月をめどに公開を目指す。

「CERT C/C＋＋セキュアコーディングスタンダード」は、C言語用に181種類、C＋＋言語に101種類のルールとレコメンデーションにより構成されている。セキュアコーディングスタンダードを解説した名和氏によると、セキュアコーディングは、脆弱性を完全になくすわけではないが、既知の脅威のリスクを低減させることができるという。

今回、CERT セキュアコーディングスタンダードを用いた「ソースコード解析ツール」の使用実験結果も公表。

セキュアコーディングの有効性を評価するとともに、実用性を検証。同センターは、CERT C/C＋＋セキュアコーディングスタンダードが実装されたソースコード解析ツールの活用を通して、脆弱性につながりうるコーディングエラーの検出が可能としている。

また、既存のソースコード解析ツールが持つ脆弱性につながりうるプログラミングエラーの検出機能の向上をサポートする。

■CSIRT マニュアルも公開
同時に JPCERT/CC は、CSIRT を支える資料を公開。CSIRT は Computer Security　Incident Response Team の略称で、システム障害などのインシデントを検知し、情報収集と分析・原因の把握を行い、普及処置や再発防止のための活動を行うグループを指す。

今回公開されたのは、JPCERT/CC の「CSIRT ガイド」など。同センターによると同ガイドは、CSIRT 構築前に読む「読み物」という位置づけになる。さまざまな種類の CSIRT の中で、企業内で発生したセキュリティ問題に対応する「組織内 CSIRT」に焦点をあてて解説したものとなっている。

あわせて、「インシデントハンドリングマニュアル」も公開。CSIRT がインシデントの発生から解決までの一連のオペレーションにあたるインシデントハンドリングの対応を解説したものとなっている。