1月25日、ロイター通信は、McAfee、SAP、Symantecなどの企業がロシアのintelligence 報機関に自社製品のソースコードの調査を許可し、「少なくとも12の連邦政府機関のコンピューターネットワークを危険にさらす可能性がある」 と報告しました。 この記事は、ソースコードの監査とそれを許可する企業について話し、「このようなソフトウェアソリューションのソースコードを研究するロシアの許可は、米国のネットワークセキュリティを弱体化させるために使用できる未知の脆弱性の特定につながる可能性がある」という論文を検討することを目的としています。
ロイターの記事の主なアイデアは、監査のためにソースコードを要求することは、悪いことであり、危険な行為であるということです。 これは単に真実ではありません。 コード監査は、企業とプロの開発者、インストールされたソフトウェアのセキュリティを確保するための情報セキュリティの分野の専門家の両方によって使用される非常に広範囲の 定期的な慣行です。 また、通信社の記事は、「ロイターは、ソースコードの監査がサイバー攻撃を行うために重要であるという証拠を見つけられなかった」と述べました。 EFF Foundationの場合、使用することを選択したソフトウェアのソースコードを監査することは一般的です。
明確にするために強調します:米国のサイバーセキュリティに対する外国の脅威の程度を軽視したり、ソフトウェアの脆弱性を悪用したりすることは望みません;それどころか、オープンソースとコード監査が最も強力なセキュリティ対策の一部であることを強調したいと思います。 そのため、EFFはオープンソースソフトウェアの配布と使用を真剣にサポートしています。
ソフトウェア 製造業者が外国政府によるコード監査の実施を禁止しているだけでなく、貿易協定は現在、各国にとって重要なソフトウェアパッケージのコード監査を要求することを禁止するために使用されています。 この制限との最初の貿易協定は、包括的で進歩的な太平洋横断パートナーシップ(CPTPP、TPPとも呼ばれます)で、今年3月に署名される予定です。
同様の制限が、更新された北米自由貿易地域協定(NAFTA)および今後のEUとの二国間協定に含まれることが提案されています。 EFFはすでにこの問題に関する立場を発表しています:強制的なコード監査のこのような禁止は、VPNや安全な通信手段などのソフトウェア、ならびにルーターやIPカメラなどのデバイスのセキュリティと品質を確認する手段の合法化に障害を引き起こします。
「ソースコードをプライベートにするとセキュリティが向上する」という暗黙の仮定は非常に危険です。 情報セキュリティの分野の研究者と専門家は、主に不明瞭さによるセキュリティに依存しているセキュリティが単に 機能しないことを定期的に示しています。 さらに悪いことに、それはIT専門家に誤ったセキュリティ感覚を与え、情報セキュリティへの対応する貧弱なアプローチをサポートします。
政治的嵐や不確実性の時代でも、頭を失ってはなりません。 プログラムのソースコードの監査を実施する許可は、私たちの国家安全保障にとっての課題ではありません。実際、私たちは絶対にもっと必要です。
プログラムコードの監査が必要です。 あいまいさによるセキュリティは悪です
All Articles