「世界唯一」というセキュアプログラミングの認定試験が今年12月、日本に上陸する。試験問題は全部で100問、試験時間は6時間(途中退出は可能)という。
試験の正式名称は「GIAC Secure Software Programmer試験」(GSSP試験)。米国に本部を置くセキュリティ団体「The SANS Institute」(SANS)が主催するもので、日本ではNRIセキュアテクノロジーズと共同で実施する。第1回の試験は12月13日、以降は年に2回実施する予定だ。
GSSP試験は、セキュリティに考慮したプログラミング(セキュアプログラミング)のスキル、知識を客観的に証明することを目的としている。ソフトウェアベンダーの技術者などを対象に、「サンプルコードの中から問題点を指摘させる」(SANSのアラン・パーラー代表)といった実践的な内容が特徴だ。
開発言語は、C言語とJavaの2つのうちどちらかを選択可能で、受験料は5万7000円。米国での合格率は、C言語が75%、Javaが68%程度という。「意外に高い合格率と思われるかもしれないが、現在は非常に精通している人のみが受験しているという印象」(SANSジャパン担当 関取嘉浩氏)。SNASでは今後、C#やVisual Basicなどの他の開発言語を対象とした試験の拡充も検討している。
狙われる自社開発のWebアプリケーション、「セキュアコードを“書けること”が重要」とSANS代表
The SANS Institute アラン・パーラー代表
GSSP試験は、SANSが従来から実施する「GIAC(Global Information Assurance Certification)」の一分野として昨年8月に米国でスタートした新しい試験だ。
SANSがGSSP試験を新設した背景には、悪質化するソフトウェアの脆弱性を狙ったサイバー攻撃が、現実のリスクとして企業を脅かしている昨今の状況がある。中でも深刻なのが、企業が自社で構築したWebアプリケーションだという。SANSの調査では、企業のWebサイトの約86%でクロスサイトスクリプティングが、約26%でSQLインジェクションの問題が発見された。今年前半には、日本を狙った大規模なSQLインジェクション攻撃の被害も確認されている(関連記事1、関連記事2)。
こうした問題を防ぐために、Webアプリケーションの開発者でもあるユーザー企業自身が、セキュリティに対する意識を向上させることが急務であるのは言うまでもない。「これまでの主流だった(OSやパッケージソフトの脆弱性を狙った)攻撃であれば、ユーザー企業はベンダーに対策を任せていればよかった。だが、(昨今問題になっている)自社開発のWebアプリの脆弱性は、他人任せにはできない。自分たちで書いているコードなのだから」(パーラー氏)。
具体的に行なうべき対策としては、ブラックボックステスト、ホワイトボックステストだけでは不十分で、熟練した技術者によるペネトレーションテスト(侵入テスト)も不可欠という。だが、一方で、パーラー氏は「テストで問題を発見できたとしても、その直し方が分からない。発見できれば直せると思うかもしれないが、必ずしもそうではない。セキュアコードの書き方を、みんなに知ってもらわなくてはならない」とも話す。
「ソフトウェアベンダーだけでなく、それ以外の企業、たとえばメーカーであっても、“セキュアコードが書ける”ということを顧客に証明しなければ信頼できない時期に来ている」(パーラー氏)。
