Webアプリケーションの安全性を確保するためのツールやガイドラインを公開しているOWASP(Open Web Application Security Project)が主催する国際会議「AppSec APAC 2014」で2014年3月20日、OWASP会長のマイケル・コーツ氏が基調講演に登壇した(写真1)。テーマは「The Online war―security in an interconnected and complex world of software」。コーツ氏はWebブラウザー「Firefox」を開発する米モジラで、セキュリティ・アシュアランス・ディレクターを務め、Firefoxのセキュリティ向上に貢献した。現在は米シェイプセキュリティのセキュリティディレクターである。
コーツ氏はまず現状認識として、サイバー攻撃による被害額は113億ドルであり、これは米ヒューレット・パッカードや米アップルといった企業の年間売り上げに相当すると指摘。攻撃者は組織的で、「頭の良い人間が真剣に取り組んでいる。甘く見ることはできない」。またエクスプロイトキットを使って、脆弱性があるかどうかを見て、あれば攻撃する「日和見型」が多いとした。具体的には「Blackhole」や「CronePack」「Phoenix」といった、ビジュアルにも洗練されたキットが使われているという。
増大するサイバー攻撃に対抗するには、組織が重大だと語った。セキュリティ標準などの取り組みはあるが、「ここまで対応すれば十分だという認識をもたらし、かえってセキュリティという観点では問題になる。またセキュリティよりコンプライアンス重視なものもある」とした。
そして組織は分散型よりも集中型を採用することにより、セキュリティの権限を明確化し、チームでビジョンを共有することが重要だと語った。「例えば昨年クレジットカード情報を大量に漏洩させた米ターゲットが、CIOを更迭して新たにCSOを採用したのはその一例」。このチームがコアとなって、開発チームやIT部門だけでなく、法務や広報部門などとも協力する体制を構築すべきという。
開発チームとは特に密接な関係を持つべきであり、具体的には個々の開発チームにセキュリティ担当者(セキュリティチャンピオン)を作るようにする(写真2)。もちろん主たる業務は開発にあるが、サブの役割としてセキュリティに関わるといったイメージだ。セキュリティチームに役割が集中することによって、開発が停滞するとセキュリティに対する取り組みが回避されてしまうためだ。また開発チームにはセキュリティの重要性を認識してもらうことが重要だが、あまりに長大な文書などを使っても逆効果であり、「例えばOWASPが提供するCheat Sheetのような、2ページにまとめられた文書を活用するのが効果的だ」という。
