サイバーセキュリティとインフラストラクチャセキュリティエージェンシー(CISA)と連邦捜査局(FBI)は、サプライチェーンに影響を与え続けるSQLインジェクションの脆弱性に対処するための共同警告を発した。この警告は、MoveITファイル転送アプリケーションのSQLi欠陥の広範な悪用を受けて、ソフトウェア製品の安全性を高めるための新しい「Secure by Design」ガイダンスを直接的な対応としている。
SQLインジェクションの脆弱性は、脅威アクターがSQLコマンドに自身のデータを注入し、データベース内の機密情報にアクセスするための任意のクエリを実行できるようにする。過去二十年以上にわたりSQLiの脆弱性とその有効な緩和策が広く知られているにもかかわらず、ソフトウェアメーカーは依然としてこの欠陥を持つ製品を開発し続けており、多くの顧客をリスクにさらしている。SQLiのような脆弱性は、少なくとも2007年以来「許されざる」脆弱性と考えられているが、CWE-89のようなSQLの脆弱性は依然として一般的な脆弱性クラスである。
【ニュース解説】
サイバーセキュリティとインフラストラクチャセキュリティエージェンシー(CISA)と連邦捜査局(FBI)は、サプライチェーンにおけるSQLインジェクションの脆弱性に対応するため、共同で警告を発しました。この動きは、MoveITファイル転送アプリケーションにおけるSQLインジェクション(SQLi)の脆弱性が広範囲に悪用されたことを受けてのものです。新たに提案された「Secure by Design」ガイダンスは、ソフトウェア製品の安全性を高めることを目的としています。
SQLインジェクションとは、攻撃者がSQLコマンドに不正なデータを注入し、データベース内の機密情報にアクセスすることを可能にする脆弱性です。この問題は20年以上前から知られており、有効な対策方法も存在しますが、ソフトウェアメーカーは依然としてこの脆弱性を持つ製品を開発し続けています。これにより、多くの顧客がセキュリティリスクにさらされています。
この問題の深刻さは、SQLインジェクションが「許されざる」脆弱性として、少なくとも2007年から指摘されているにもかかわらず、依然として広く存在していることにあります。CWE-89などのSQL脆弱性は、今もなお一般的な脆弱性クラスとして認識されています。
この状況は、ソフトウェア開発の初期段階からセキュリティを考慮する「Secure by Design」の原則の重要性を浮き彫りにしています。ソフトウェア製品がセキュリティを内蔵することで、開発後の段階や製品リリース後に発見される脆弱性に対処するコストと労力を大幅に削減できます。
この取り組みのポジティブな側面は、ソフトウェアの安全性が向上し、エンドユーザーのデータ保護が強化されることです。一方で、ソフトウェアメーカーにとっては、開発プロセスにおけるセキュリティ対策の強化が求められるため、短期的にはコスト増や開発時間の延長が懸念されるかもしれません。しかし、長期的にはセキュリティインシデントの減少により、信頼性の高い製品を提供できるようになり、結果的に顧客満足度の向上につながるでしょう。
規制に与える影響としては、このようなガイダンスが法的要件として取り入れられる可能性があります。これにより、ソフトウェア開発におけるセキュリティ基準が一層厳格化されることが予想されます。将来的には、セキュリティを重視したソフトウェア開発が業界標準となり、より安全なデジタル環境の実現に貢献することが期待されます。
from CISA Seeks to Curtail 'Unforgivable' SQL Injection Defects.
