ご参加いただきました皆様、誠にありがとうございました。
脆弱性のない安全なプログラムを開発するために
~ソフトウエアの脆弱性が作りこまれる根本的な原因を学び、問題を回避する~
JPCERTコーディネーションセンターは、C/C++ 言語で脆弱性を含まない安全なプログラムをコーディングする具体的なテクニックとノウハウを学んでいただくためのセミナーを下記のとおり開催いたします。
従来のプログラミング教育は、基本的なアルゴリズムをどのようにコーディングするかが主なものでした。
しかし C/C++ 言語による開発では、基本的なプログラミングだけでなくセキュリティへの十分な配慮が必要です。不用意なプログラミングの結果、予期せぬ脆弱性を多く含むソフトウエアが生まれます。
本セミナーは、経済産業省の委託によるソフトウエア等の脆弱性対策に関する事業の一環として、一昨年より開催しておりますが、このたび、北海道地区のプログラム開発者の方々に受講いただけるよう、札幌にて、2011年1月27日、28日の2回コースで開催いたします。
開催概要・お申し込み
プログラム内容
会場案内
ACU 中研修室 1605
札幌市中央区北4西5 アスティ45
お問い合わせ
ソフトウェアの脆弱性について
JPCERTコーディネーションセンターは、日本国内においては情報セキュリティ早期警戒パートナーシップにおける製品開発者との調整機関の役割を担い、また米国 CERT/CC や英国 CPNI との連携による国際的なネットワークを形成し、製品開発者によるソフトウエア製品の脆弱性対応を支援する活動を行っています。その活動を通じて、以下のような傾向があることが分かってきました。
- 一昨年 2006年の一年間に CERT/CC が収集した脆弱性の数は 8064件である。この数字は 2006年度に発見された脆弱性の氷山の一角にすぎない。
- このうち実際に製品開発者と調整機関の間で脆弱性対応の調整が行われ、一般に公開することができた件数は、422件に過ぎない。
- 潜在的に市場に出回っていると考えられる脆弱性の数は、調整機関 (例. CERT/CC、JPCERT/CC) が把握し、開発者と調整して修正できる件数を大幅に上回る。
- 市場で発見される脆弱性の数は年々増加の傾向にある。2010年には年間約 100,000 の新しいソフトウエア脆弱性が発見されうると予測されている。
脆弱性情報ハンドリングにより事後的に (対症療法的に) 個々の問題を解決することはできますが、これは根本的な問題解決にはなりません。
日本市場において、情報家電や携帯電話など C/C++ 言語で開発されることの多い組込みシステムは、近年脆弱性の攻撃対象として注目を集めています。これら組込み製品は、今日の PC のようにセキュリティ対策が行われているとはいいがたく、また脆弱性の修正を事後的に適用することが困難なケースが想定されるため、そもそも製品開発者が脆弱性を製品に作りこまないことが非常に重要です。
JPCERT/CCでは上記の状況を認識し、製品に脆弱性が作りこまれない、つまり脆弱性を抱えたまま市場に出回る製品の数を削減することを支援するための活動として、カーネギーメロン大学ソフトウェアエンジニアリング研究所 CERT/CC と連携し、セキュアコーディングに関する知識・ノウハウの習得・蓄積を行っています。これらの知識・ノウハウを、広く国内の製品開発者に対して情報発信し、最終的に国内市場に出回る脆弱性の数を減らすことに資する目的で、セミナーの実施、トレーニング教材の公開をしていく予定です。
- 参考資料
書籍 『C/C++ セキュアコーディング』
攻撃リスクを除去・緩和するための効果的かつ実用的な回避策を提示
Robert C. Seacord 著/JPCERTコーディネーションセンター 翻訳/株式会社アスキー 発行
書籍 『CERT C セキュアコーディングスタンダード』
攻撃可能な脆弱性につながる危険なコーディング作法や未定義の動作を取り除くためのガイドラインを解説
Robert C. Seacord 著/JPCERTコーディネーションセンター 久保正樹、戸田洋三 翻訳/株式会社アスキー発行
講義内容に関する資料
- 脆弱性対策情報 ポータルサイト JVN Japan Vulnerability Notes
http://jvn.jp/