アウトフロー・デザインズ/ゲッティイメージズ

ジョエル・クロスウィック

ホワイトハウスは最近、国家サイバーセキュリティ戦略をサポートするために、安全で測定可能なソフトウェアの開発に関するレポートとガイダンスを作成しました。このレポートでは、NCS の目標に向けた進歩を推進する 2 つの重要なテーマ、つまりメモリセーフ言語の採用と、ソフトウェアの測定可能性を向上させる正確なサイバーセキュリティ品質メトリックの確立に焦点を当てています。
メモリの安全性は、さまざまなプログラミング言語の特性であり、メモリの管理方法に関連するセキュリティ バグを防ぐのに役立ち、メモリ セーフでない言語よりも安全です。サイバー攻撃の基本的な要素は、従来のプログラミング言語の欠陥に関係していることが多いため、組織は近代化イニシアチブを実施し、メモリ セーフなプログラミング言語に切り替えるのに適しています。
レガシー言語の最新化とソフトウェア測定の活用という 2 つの最大のステップに取り組むことで、ソフトウェア作成者はアプリケーションの構成要素を保護し、より情報に基づいた意思決定を活用できるようになります。その結果、公共部門での使用に適した、より安全なサイバー インフラストラクチャが構築されます。
メモリセーフなプログラミング言語への移行
C や C++ などのレガシー コーディング言語におけるメモリの脆弱性の悪用は 35 年前に遡ります。今こそ、より安全なソフトウェア開発環境への移行を開始するときです。
レガシー コードのモダナイゼーションを開始する場所を探している場合は、CISA の Memory Safe Roadmap を参照することから始めることができます。コードのリファクタリングは、レガシー アプリケーションをクラウドに移行するなど、より大規模なモダナイゼーション イニシアチブの一部になる場合があります。コードのリファクタリングの実際の例として、Google Chromium が Rust への扉を開き、メモリが安全でない C コード ベースからの移行を開始したことが挙げられます。
メリットはコード セキュリティだけではありません。レガシー アプリケーションを最新のプログラミング言語にリファクタリングすると、メモリが安全なアプリケーションが実現されるだけでなく、通常はコード ベースが小さくなり、実行時間が著しく短縮され、スケーラビリティが向上します。
AI は、メモリセーフ言語の導入プロセスを迅速化するのに役立ちます。AI を活用する組織は、最新のコードベースの品質、保守性、機能性を確保しながら、レガシー コードの書き換えを加速できます。リファクタリング、テスト、コード生成など、さまざまな方法で AI を活用して、開発者の負担を軽減できます。
安全なソフトウェア開発手法の奨励
ほとんどのサイバーセキュリティの専門家は、ソフトウェアの測定には時間がかかり、標準化が難しいことに同意しており、これは ONCD の技術レポート「Back to the Building Blocks: A Path Toward Secure and Measurable Software」でもさらに証明されています。
この報告書では、ソフトウェアの測定可能性を「取り組むのが最も難しい未解決の研究課題の 1 つ」と呼び、サイバーセキュリティ研究者が何十年もこの問題に取り組んできたと指摘しています。ソフトウェア開発測定のフレームワークを標準化するには、組織は既存の測定基準を改良して、ソフトウェアのセキュリティと効率をより適切に測定する必要があります。
政府機関は、価値の提供を測定して近代化イニシアチブの進捗状況と影響を示すことにより、安全なソフトウェア開発を奨励することを検討する必要があります。バリュー ストリーム分析は、コスト/収益モデルの開発とボトルネックの特定に役立ち、組織がイノベーションとサイバーセキュリティのバランスを取りながら、より優れた洞察を得るのに役立ちます。
これらの洞察を活用することで、組織は、レガシー アプリケーションをメモリセーフなプログラミング言語にリファクタリングするために費やされた作業と時間の価値を示すメトリックを使用して、モダナイゼーション イニシアチブを優先する価値があるかどうかを検証できます。
近代化の取り組みにより国家のサイバーセキュリティの取り組みが改善
連邦政府は、国家のサイバーセキュリティの取り組みを強化するために、安全なソフトウェア開発とメモリセーフなプログラミング言語を優先していますが、公共部門には大きな課題が待ち受けています。
開発者、ソフトウェア製造業者、連邦政府の IT リーダーが協力して、近代化の取り組みについて積極的に検討を始めることが重要です。レガシー コードをメモリ セーフなプログラミング言語にリファクタリングし始めるのが早ければ早いほど、脆弱性のクラス全体を早く排除し、国家のサイバー態勢を改善できます。

次の記事: 連邦政府機関はランサムウェアとの戦いにおいて文化を再考する必要がある

あなたに特化したコンテンツの作成にご協力ください:

元記事: https://www.nextgov.com/ideas/2024/05/modernizing-secure-code-public-sector/396264/