CERT Cコーディングルールを調査、脆弱性の低減に有効な22個を抽出(JPCERT/CC) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.02.25(日)

CERT Cコーディングルールを調査、脆弱性の低減に有効な22個を抽出(JPCERT/CC)

調査・レポート・白書 調査・ホワイトペーパー

一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は6月2日、レポート「制御システム用ソフトウエアの脆弱性対策に有効な CERT C コーディングルールの調査」を公開した。本レポートは、米国ICS-CERTによる「ICS-CERT Advisory」で公開された制御システム用ソフトウェアの脆弱性を調査し、それらの低減に役立つ22個のルールを「CERT Cコーディングスタンダード」の中から抽出したもの。CERT Cコーディングスタンダードはセキュアなソフトウェア開発のためのコーディングガイドラインであるが、300を超えるコーディングルールが含まれており、開発現場で活用するには優先度付けなどの手間があったため、本レポート公開したという。

米国ICS-CERTが2010年から2013年末までの間に公開した242件のアドバイザリには、445件の脆弱性が含まれていた。最も多い脆弱性はバッファエラー(CWE-119)であり、全体の19%を占めた。また、全体の36%には攻撃・PoCコードが公開されていた。脆弱性の大半は、プログラマがセキュアなコードを書く方法を知っていれば作り込まずに済んだ、実装上の問題であるとしている。さらに、調査した445件の制御システム用ソフトウェアの脆弱性に関連するルールは全部で44個存在し、このうち22個のルールが脆弱性の低減において特に重要であることがわかった。脆弱性の多くは実装段階にコーディングエラーが原因で作りこまれる問題であることから、コーディング規約や静的解析ツールを活用したセキュアコーディングが、脆弱性対策に有効であると考えられるとしている。
《吉澤 亨史》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×