ホワイトハウス、開発者に“メモリ・セーフ”なプログラミング言語への移行を促す

masapoco
投稿日
2024年2月27日 14:21
programming language

ホワイトハウスの国家サイバー局長室(The White House Office of the National Cyber Director: ONCD)は、テック企業に対し、メモリ安全性に関する脆弱性を減らすことでソフトウェア・セキュリティを向上させ、サイバーセキュリティに関するユーザーの負担を軽減するための取り組みとして、Rustなどのメモリ・セーフ・プログラミング言語への切り替えを促した

ONCDによるこの取り組みは、1980年代から問題を引き起こしてきたバグの一種、すなわち、ソフトウェアがコンピュータのメモリを管理する方法を攻撃者に悪用させるコーディング・エラーを減らすことを目的としている。これらの脆弱性は、ソフトウェアが意図しない、あるいは安全でない方法でメモリにアクセスしたときに発生し、バッファ・オーバーフロー、free後の使用、初期化されていないメモリの使用、二重freeなど、攻撃者が悪用できるさまざまなセキュリティ・リスクや問題を引き起こす。

悪用に成功すると深刻なリスクを伴い、脅威者がデータへの不正アクセスを可能にしたり、システム所有者の権限で悪意のあるコードを実行したりする可能性がある。

「サイバースペースの攻撃面を減らすためには、サイバースペースの構成要素を保護することによって、脆弱性のクラス全体を大規模に排除する必要があります」と、Harry Coker国家サイバー長官は、ホワイトハウスが業界のために作成した新しい技術報告書 [PDF]の概要について述べた。

この報告書は、ハイテク業界や学界のリーダーたちの賛同を得ているとONCDは指摘し、SAP、Hewlett Packard Enterprise、Honeywellといった企業の関係者が支持を表明していることをアピールした。

ホワイトハウスは、この報告書は「サイバーセキュリティの責任を個人や中小企業からテクノロジー企業のような大企業に移すための重要な一歩を踏み出した」と述べている。

「一般的な脆弱性と暴露に関する利用可能なデータから、この数十年間、最も蔓延しているバグのひとつであることが判明したため、我々はこのような取り組みを行っています。この問題に対処できるのは、ソフトウェアとハードウェアの作成者であることは明らかです。すべてのプログラミング言語が同じように作られているわけではなく、本質的に安全でないものもあります」と、Coker長官は指摘する。

報告書は、“メモリの安全性に関連する特徴を欠き、また重要なシステム全体への普及率が高い”プログラミング言語の例として、CとC++を挙げている。推奨される代替言語としては、Rust、Python、Javaといった言語が挙げられている。

ホワイトハウスは、エンジニアだけでなく経営陣にも注意を払うよう求めているようだ:「われわれは、メモリの安全性が多くの企業の次回の取締役会の議題になることを望んでいる」と、ONCD高官は記者会見の席で述べている。

この報告書は1年以上かけて作成されたもので、ハイテク業界へのアウトリーチセッションも何度も行なわれたという。

「メモリ・セーフ・コードへの移行は、はっきり言って、企業の規模によっては数十年に及ぶ努力になる可能性があり、全員の注意と支援が必要だ。切り替えが難しいからこそ、35年もの間、我々は敵対勢力が我々に対して得点を稼ぐのを見てきた。しかし、今こそ産業界が転換する時である」と、ONCD高官は述べている。

それでも、Microsoftの報告書が指摘するように、特に、脆弱性として割り当てられたバグの約70%がメモリ安全性の問題であることも明らかになっている。「このような脆弱性は、Heartbleedバグのような最も有名なハッキングのいくつかにつながっている」と、ONCDの技術セキュリティ担当国家サイバーディレクター補佐のAnjana Rajan氏は声明で述べている。

実際に、Googleの調査結果によると、メモリ・セーフな言語を使用することで、大規模なコードベースであってもメモリ安全性の欠陥の数を大幅に減らすことができ、場合によっては完全に排除できることも示されており、実績としては十分だろう。

ホワイトハウスのファクトシートによると、報告書はまた、ソフトウェアのセキュリティを測定するためのより良い測定基準を作成することを求めている。

この報告書は、Joe Biden大統領が2021年に発表したサイバーセキュリティに関する大統領令、2023年の国家サイバーセキュリティ戦略の発表に続く最新のものである。

さらに報告書は、「ソフトウェアのサイバーセキュリティ品質を測定する実証的な指標」の開発を求めている。報告書は、これを「最も困難なオープンリサーチの問題」のひとつと呼び、オープンソースソフトウェアをソフトウェア計測を適用するための「優れた環境」として指摘している。


Sources



この記事が面白かったら是非シェアをお願いします!


  • 次の記事

    Google DeepMind、1枚の画像からゲームを作り出すAIモデル「Genie」を公開

    2024年2月27日 16:20
  • 前の記事

    AIが核融合実現に立ちはだかる重要な問題を解決してくれる可能性が示される

    2024年2月27日 12:24
    jet eurofusion
この記事を書いた人
masapoco

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です


おすすめ記事

  • devin

    世界初のAIソフトウェア開発者「Devin」は独自のAIを訓練して作り出し、人間に頼らずソフトウェア開発を行える

  • starcoder2 banner

    NVIDIA、Hugging Faceらが新しいコーディングLLM「StarCoder2」を発表、CPU上でも動作可能な軽量LLM

  • servo linux

    Rustで開発のオープンソースレンダリングエンジン「Servo」の開発が進む

  • cc03c49cfb22d4728eb2d321f49bf434

    ソフトウェアの改良だけでコンピューターの処理速度が2倍、エネルギー使用量が半分に

  • SIEVE Logo

    SIEVE: Webブラウジングに革命的なスピードをもたらすシンプルだが革新的なアルゴリズム

今読まれている記事