セキュリティ業界で加速する“Shift Left”──西尾素己氏が語る「ガバナンス回帰」が必要な理由

Shift Leftの浸透でベンダー側の責任はより重大に

　西尾氏はここまでを踏まえ、今後のセキュリティ対策を考える上で重要となるキーワードとして、「ソフトウェアPL法」と「SSDF（Secure Software Development Framework）」を挙げる。

　まずは、ソフトウェアPL法について。PL法とは「製造物責任法」のことを指すが、現行の同法は、「有体物であり、かつ動産であるモノ」に対してでなければ適用できないのだという。たとえば、自動車の欠陥で事故が発生した場合にはPL法を適用できるが、自動運転のソフトウェアにおける脆弱性が原因だった場合には、PL法を適用できないのである。

　同様に、これまで西尾氏が紹介してきたような「ソフトウェア製品の侵害」に起因するインシデントに対しても、PL法を適用できないのが現状だ。こうした課題を解決すべく、現在ソフトウェアPL法の議論が活発化しているのだという。

　この議論の根底にあるのが、まさに「Shift Left」の考え方だ。NIST（米国立標準技術研究所）のサイバーセキュリティフレームワーク（CSF）が定義する「特定・防御・検知・対応・復旧」の5段階のフェーズの左側（Left）、つまり、より早期のフェーズでセキュリティ対策を埋め込むことを目指すのがShift Leftの基本的な考え方である。

　このShift Leftの考え方を推し進めていくと、ソフトウェア製品の脆弱性を突く攻撃をユーザーが特定・検知する以前に、「そもそもソフトウェア製品の開発段階で脆弱性が入り込まなければ問題ないのではないか」という考えに必然的に行き着くのだと西尾氏は語る。

　「そもそも、ベンダーが開発段階できちんとセキュアな製品を作っていれば、ユーザーが製品を導入した後に対策を頑張る必要はありません。そのような考え方が、Shift Leftの行き着く先です。最終的には、製品の開発元の責任がより問われることになります」（西尾氏）

　こうした考え方に基づき、米国で適用が進んでいるのがSSDFだ。日本では「セキュア・ソフトウェア開発フレームワーク」という名で知られている。NISTが公開しているSP800-53をベースとし、開発環境のセキュリティ水準について定めたものだ。今後はこれを皮切りに、ベンダーに対してセキュアな開発環境の整備を求める当局の圧力が高まってくるものと見られている。