AIは安全なコードの記述に有効、ただし2FAなどの基本対策が大前提–GitHubに聞く

今回は「AIは安全なコードの記述に有効、ただし2FAなどの基本対策が大前提–GitHubに聞く」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 高度なサイバーセキュリティツールで脆弱性を検出できるようになるのは素晴らしいことだが、コードの安全を守るためには、何よりもまず開発者がセキュティの基本を守らければならない。

 GitHubの最高セキュリティ責任者(CSO)兼エンジニアリング担当シニアバイスプレジデントを務めるMike Hanley氏は、そうした技術を活用するためには、例えば2要素認証(2FA)を有効にしたり、業界標準やベストプラクティスを採用したりといった基本原則を守る必要があると述べた。

 Microsoft傘下のソフトウェア開発プラットフォームであるGitHubには1億人以上のユーザーがおり、その数に見合った相当な量の標的型サイバー攻撃を受けている。しかし、この種の攻撃の形態は、この10年大きく変わっていない。これらの攻撃の大半はフィッシング攻撃やソーシャルエンジニアリング攻撃で、ソフトウェアのメンテナーの認証情報やアカウントを奪ったり、ウェブアプリケーションの脆弱性を悪用しようとしたりするものが多い。

 サイバー犯罪者が多くの場合同様の手口を使い続けているため、セキュリティを高めるには、何よりも開発者を守ることが重要になる。Hanley氏は米ZDNETのインタビューで、「脆弱性を防いだり、検出したりするツールを購入するのもいいが、まず最初に取り組むべきなのは、開発者が安全なアプリケーションを構築できるようにすることだ」と語った。

 今では、GitHubを使って重要なソフトウェアが開発され(これにはビデオ会議ツールや自動運転車も含まれる)、そのライブラリーが公開されるようになっている。それらのアプリケーションをメンテナンスする人々のアカウントが適切に守られていなければ、ハッカーにそのアカウントが乗っ取られ、ライブラリーが危険にさらされる可能性がある。

 Hanley氏は、その被害は広範囲に及ぶ可能性があり、SolarWindsやLog4jのときように、別の第三者のセキュリティ侵害につながりかねないと指摘した。同氏がGitHubに加わり、新たに設けられたCSOの役職に就任したのは、SolarWindsを悪用した大規模な攻撃のニュースが問題になっていた頃だった。

 「私たちはいまだに、2FAを使えと言い続けている。基本を身に付けることは最優先事項だ」と同氏は言う。

 Hanley氏は、すべてのユーザーに2FAの使用を義務付けるGitHubの取り組みについて説明してくれた。この取り組みは1年半前から進められており、2024年の早い時期には完了する予定だという。

 セキュリティー市場は「派手」な製品で溢れかえっているが、ドアに単純だが強力な錠を付けることの必要性は、専門家でも見逃してしまいがちだ。

 Hanley氏は、企業の環境を保護する上では、基本的な管理を徹底することや、業界標準やベストプラクティスを採用することの方が効果的だと述べた。ここで言う標準やベストプラクティスには、Cloud Security Allianceが公開しているベンチマークやシンガポールの「Safe App Standard」などがある。後者は、「常識的」なセキュリティ対策の基本や、重要な構成要素を絞り込む際に参考になる民間や公的機関の意見に基づいて作成されたものだ。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
ITでがん治療を支援するフランスの意欲的なスタートアップ「Resilience」
ヘルステック
2021-03-18 06:03
AI契約書レビュー支援「GVA assist」、情報システム保守契約などのリスク解説機能を追加
IT関連
2024-03-05 10:01
買収意欲旺盛な宇宙インフラ企業RedwireがSPAC経由で株式公開へ
宇宙
2021-03-27 00:11
「clusterで学会イベントやってみた」……情報処理学会、リモートワーク関連記事無償公開
社会とIT
2021-01-13 04:22
味の素、ゼロトラスト型ネットワークセキュリティを構築
IT関連
2024-02-03 06:42
レストランをクラウドキッチンに変えるAcelerate、成功の鍵は地元重視
フードテック
2021-07-17 16:40
フロリダ州の「禁止の禁止」令はSNS企業の言論の自由の試金石となる
ネットサービス
2021-05-26 18:21
「コンテンツクラウド」を前面に押し出したBox CEOの思惑とは
IT関連
2022-05-07 16:33
ウクライナ政府や銀行のサイトにまたDDoS攻撃–アクセス不能に
IT関連
2022-02-26 09:41
従来型のオンプレミスのみをサポートするベンダーは市場から消滅しつつあり、ほとんどの日本企業にとって事態は相当に深刻。ガートナーが指摘
業務アプリケーション
2024-03-09 23:43
名古屋大学、教育研究用・事務用端末のセキュリティ対策でカスペルスキーを導入
IT関連
2021-01-19 19:00
ヤフー、取引先との署名を完全電子化 1件当たり3000円のコスト削減に
DX
2021-06-25 15:33
テラスカイ、新潟県上越市を活性化–障がい者雇用で農業事業もスタート
IT関連
2022-05-13 03:22
「iPhone」でストレージ容量を確保するために“アプリを取り除く”には
IT関連
2022-11-20 06:54