CERT セキュアコーディングスタンダードの概要

ネットワーク化されたソフトウェアシステムへの依存度が高まるにつれ、そのようなシステムを狙った攻撃の数は増えてきている。政府、企業、教育機関、個人を狙ったこれらの攻撃は、機密データの消失や漏えい、システムの損傷、生産性の低下、および金銭的な損失につながっている。

ソフトウェアの脆弱性に関する報告は驚くべき速さで増え続けており、そのうちの大部分はテクニカルアラート（注意喚起）の発行につながっている。この増大する脅威に対処するためには、ソフトウェアの開発や継続的なメンテナンスの過程で作りこまれるソフトウェアの脆弱性を大幅に削減する必要がある。

安全なソフトウェア開発に不可欠な要素は、適切に明文化された、適用可能なコーディングスタンダードである。コーディングスタンダードがあれば、プログラマは個人の得意な方法や好みではなく、プロジェクトと組織の要件によって決められた統一的な一連のルールとガイドラインに従うことができる。一度標準が策定されれば、それを（手動または自動のプロセスにより）ソースコードの評価基準として使用し、標準への適合を確認することができる。

CERT が提案しているセキュアコーディングスタンダードは、標準化団体が定める明文化された標準言語に基づく。たとえば、CERT セキュアコーディングスタンダードは次の言語を対象としている。

ISO/IEC TR 24731 C言語ライブラリ拡張 [ISO/IEC TR 24731-1-2007] のような技術正誤表や言語拡張へ CERT セキュアコーディングスタンダードを適用することも検討されている。

適用範囲としては、特定の指針を広範なユーザ層に提供することを念頭に置いている。ISO/IEC が策定するプログラミング言語の標準などは、主にコンパイラ実装者を対象に書かれているが、CERT セキュアコーディングスタンダードは、それら標準で定められた言語でプログラムを書く開発者を直接の対象として書かれたルールとレコメンデーションを示す補助的な文書である。

C言語、C++言語用のCERT セキュアコーディングスタンダードの目的は、それぞれのプログラミング言語で開発されたソフトウェアシステムのセキュリティを確保するために必要な（ただし十分ではない）一連のルールを定めることである。

ルールとレコメンデーション

CERT セキュアコーディングスタンダードは、ルールとレコメンデーションから構成されている。次の条件をすべて満たすコーディング作法は、ルールとして定義されている。

つまりルールとは、ソフトウェアシステムのセキュリティを確保するために必ず適用すべきコーディング作法である。

レコメンデーションは、ガイドラインまたは提案である。コーディング作法は、次の条件をすべて満たすときレコメンデーションとして定義されている。

開発作業においてどのレコメンデーションを適用するかは、最終的なソフトウェア製品のセキュリティ要件によって異なる。高いセキュリティが要求されるソフトウェア開発プロジェクトでは、より多くのリソースをセキュリティ対策に投入でき、結果的により多くのレコメンデーションを適用することだろう。

また、コーディング作法によっては、セキュリティ向上のために適用する必要のない状況が存在する。そのような場合には、個々のルールやレコメンデーションで、「例外」として記載している。

優先度とレベル

各ルールとレコメンデーションには優先度が設定されている。優先度の設定には、故障モード(failure mode)、影響(effect)、致命度解析(criticality analysis)に基づくメトリックを用いている(FMECA [IEC 60812])。各ルールには、次の3項目について 1 から 3 のスケールで3つの評価値を割り当てている。

これら3つの評価値を掛け算した結果はルールの適用を優先度づけするための指標となる。値は1から27の範囲をとる。優先度が1から4(P1-P4)の範囲のルールとレコメンデーションはレベル3(L3)、優先度が6から9(P6-P9)はレベル2(L2)、優先度が12から27(P12-P27)はレベル1(L1)となる。次の図で示すように、すべてのルールとレコメンデーションにレベルを設定することで、レベル1、レベル2、もしくはスタンダードへ完全に適合(レベル3)を主張することができる。

Top へ