Rsa：ソフトウェアセキュリティは時間の無駄ですか？

サンフランシスコ- 2人のRSA会議パネルは、挑発的な質問に真正面から取り組みました。ほとんどの企業にとって、ソフトウェアセキュリティは時間の無駄ですか？

企業が自社の製品のバグを無視することを提案する人はいませんでしたが、問題はいつどのように修正が行われるべきかということでした。

Microsoft、Adobe、および他のいくつかの企業は、開発のすべての段階でセキュリティの問題に対処する安全なソフトウェア開発ライフサイクルを提唱しています。 これらのソフトウェアセキュリティイニシアチブに費やされた時間とお金を他の場所で使用できると信じている企業はまだ多くあり、製品の出荷後にバグを修正するだけの方が関心があります。

一方では、Adobeのような企業があり、ソフトウェアの脆弱性を悪用しようとする攻撃者に対処する必要があります。 「リーダーまたはFlashに対して機能するエクスプロイトは、10億台以上のコンピューターを危険にさらします」とAdobeのBrad Arkinはパネルで述べました。 「これらの修正を出すコストは非常に高いため、出荷する前にこれらの問題を修正するためにできる限りの投資をする必要があります」と彼は言いました。

また、SilverSkyの前副社長であったPerimeter E-SecurityのパネリストJohn Viegaによると、安全なソフトウェア開発イニシアチブの実装に対する投資の見返りを決して見ない企業もあります。 「ほとんどの企業にとって、何かが起こるまで何もしなければ、はるかに安くなり、顧客により良いサービスを提供できるでしょう。市場があなたに圧力をかけるのを待つほうがいいでしょう」とViegaは言いました。

高すぎる

Viegaは、単に反対してAdobeのArkinに同意していませんでした。 彼は以前マカフィーで製品セキュリティに取り組んでおり、「測定できる限り、それは絶対にお金の無駄でした」と彼は言いました。

たとえば、マカフィーは1年間、公開された3つのセキュリティ欠陥を抱えていたが、対処にかかる費用は合計50, 000ドル未満だったとViegaは述べた。 この図には、修正の開発とテストにかかるすべての通信と時間が含まれています。 対照的に、包括的なソフトウェアセキュリティプログラムは、対照的に、会社に直接費用で数百万ドル、そして生産性の損失などの間接費用でさらにコストがかかると彼は言いました。 彼が知る限り、同社は「悪者の仕事をもう少し高くした」が、コストを正当化するには十分ではなかった。

「何もすることが理にかなっていない企業がたくさんあります」とViegaは言いました。

セキュリティは重要ですが、それが原動力であってはなりません、とViegaは提案しました。 彼は状況を自動車産業と比較した。 安全性が「最も重要」だった場合、「時速5マイルを超えない車があればいい」と彼は言いました。 経済的コストを見ると、トレードオフがどこにあるべきかがわかります。

アドビにとって、待つことは高価すぎるため、ソフトウェアのセキュリティがコンセプト、設計、コーディング、テスト、展開から製品開発プロセスの主要な部分であることを確認します。 同社は、スキルと経験レベルに関係なく、すべてのエンジニアを対象に広範なセキュリティトレーニングを実施し、全員が統一された方法でセキュリティを検討できるようにしています。

すべての小さなバグを修正

Arkinは、開発プロセス中に脆弱性を見つけて修正するために多大な時間とリソースを費やしたが、可能性のあるすべてのバグを排除することではないことを注意して指摘しました。 バグのカテゴリに対処するために、チームのエネルギーとお金をより有効に使用したと彼は言いました。

「すべての小さなバグを修正している場合、バグのクラス全体を軽減するために使用できた時間を無駄にしています」と彼は言いました。

Viega氏によると、顧客は通常、どの企業が出荷先企業か修正企業かを知る方法がありません。 バイヤーは十分な知識がなく、購入を評価するときにアプリケーションのセキュリティについて常に考えているわけではない、と彼は言いました。 「ねえ、人々はまだアドビを使用しています」とViegaは言いました。

特定のソフトウェアが「修正」製品であるかどうかを判断するための何らかの基準がありますか？ Viegaは可能性を排除しませんでした。ボトル入りの水にも栄養情報が印刷されたラベルが付いていることに注意してください。