昨日はMicrosoftのパッチ火曜日でした。22件の脆弱性に対応する12件のセキュリティ情報が新たに公開されるなど、忙しいパッチ火曜日でした。Adobeソフトウェアの問題修正にとっても重要な日でした。これらの脆弱性がすべて修正されたと知って安心するかもしれませんが、残念ながら、来月もまた同じことを繰り返すことになります。毎月新しいバンドエイドを貼るよりも、もっと良い方法があるのではないでしょうか。
現在のソフトウェアとセキュリティのモデルは、セキュリティソフトウェアおよびサービスベンダー、そして情報セキュリティ専門家に経済的な機会をもたらしていますが、常に一日遅れ、攻撃者より一歩遅れています。このモデルは、脅威が実際に検知された後に対処し、終わりの見えないパッチ適用の繰り返しという永続的なサイクルに依存しています。
Invinceaのチーフサイエンティスト兼創設者であるAnup Ghosh氏は、ブログ記事で次のように述べています。「人は誰でも間違いを犯すものです。しかし現実には、インターネットに接続されたソフトウェアの攻撃対象領域を形成する何百万行ものコードの正確さを前提とするセキュリティモデルは、根本的に欠陥のあるモデルであり、セキュリティの観点からは維持できません。」
ゴーシュ氏はさらにこう付け加えた。「火曜日に月曜日にやられたと言われ、誰もがそれを当たり前のこととして受け入れるなど、あってはならない。『安全なものなど存在しない』、『予防は失敗した戦略だ』、『せいぜい敵がネットワークに侵入した後に検知することしか期待できない』といった主張を受け入れるべきではない。」
ゴーシュ氏は、防火エンジニアは煙探知器や消火器を設置するだけでなく、そもそも火災を未然に防ぐための建設技術や建物設計の改善にも積極的に取り組んでいると指摘しています。同様に、セキュリティ業界も、パッチ適用やシグネチャベースの脅威検知といった事後的な防御姿勢から脱却し、より安全なシステムとソフトウェアを最初から設計するという積極的な取り組みを行う必要があります。
では、答えは何でしょうか? まあ、ゴーシュ氏は答えを持っているとは主張していません。むしろ、現在のセキュリティモデルに対する不満を吐露し、攻撃を最初から防ぐために、より優れた設計のソリューションに重点を置くよう、すべての関係者に呼びかけているのです。
ゴーシュ氏は、「攻撃者ではなく防御者に優位性を取り戻すために、セキュリティを再び革新し、ゲームを変える時が来ている」と宣言しています。
それは可能だと思いますか?それとも、我々は攻撃者に追いつくしかない運命にあると思いますか?
