サイバーセキュリティが話題に上らない日はない。安全にするための取り組みは様々だが、アプリケーションやソフトウェアを作成する開発者がセキュリティを最初から念頭に置くことが重要だ、と信じるのが非営利団体OWASP(Open Web Application Security Project)のTobias Gondrom氏だ。Gondrom氏にモバイルやIoTのセキュリティ、セキュリティ人材不足などについて話を聞いた。

次々と襲う脅威にどう対処するか

IoTがサイバー攻撃を受けたら<br />誰が責任を取るのかTobias Gondrom
ドイツ出身、ソフトウェア開発者としてキャリアをスタートした。約20年、情報セキュリティ分野に関わり、OWASPでは2014年にグローバルチェアを務め、現在は世界に7人いるグローバルボードメンバーの1人。OWASPのほか、IETF(Internet Engineering Task Force)でもIETF Trustのチェアを務めた。2015年より中国Huawei TechnologiesでグローバルCTOとしてセキュリティを見ている。

――OWASPについて教えてください。

 設立は2000年、世界中のセキュリティ専門家がセキュリティが関連する情報、アイディア、知識を共有することを目的に立ち上がったオープンソースのコミュニティだ。それまで、セキュリティ問題を開示すると他の人が悪用するかもしれない、と専門家らは共有に後ろ向きだった。OWASPはそこに、オープンな原則を持ち込んだ。

 個人メンバーは4万4000人近くおり、世界に230の“チャプター”つまり支部がある。日本は活発な地域の1つで、東京と関西で年に数回開催されるチャプターミーティングは毎回満員。チャプターミーティングは新しいセキュリィの問題、悪用コード、システムの分析手法、防御の方法など、アプリケーションやWeb技術をどのようにして安全にするかについて話し合っている。

 OWASPは約130のオープンソースプロジェクトを擁するが、最も有名なのが「OWASP Top 10」だ。Web、アプリケーション分野でのセキュリティリスク上位10をリストしたもので、クレジットカード団体のPCIDSS(Payment Card Industry Data Security Standard)など様々なところで引用、参照されている。

――脅威は次々と現れ、その手法の移り変わりも激しい。どうやって攻撃者のペースに追いつくのですか?

 ボトムアップなので、コミュニティから問題が提起されるとすぐにプロジェクトとなる。

 例えばモバイル。5年ぐらい前に誰かがモバイルのセキュリティを考える必要があると提案すると、すぐにプロジェクトが立ち上がり、1~2週間後にモバイルセキュリティのガイドライン設計が始まった。IoTも同じだ。ある程度成熟すると、次の新しいトピックに移る。

 その点から、OWASPはプラットフォームの役割も持つ。たくさんの人が参加しており、オープンでダイナミックなので簡単にセキュリティの進化と歩調を合わせることができる。標準化団体なら1年かかるところだが。