btzgrp
  • Microsoft Word の校正オプション - TechRepublic
Headlines

ソフトウェアメーカーは2026年までにC/C++の使用をやめるよう奨励される

05 mins
ソフトウェアメーカーは2026年までにC/C++の使用をやめるよう奨励される

出版

メーガン・クラウスの画像

サイバーセキュリティ・インフラストラクチャセキュリティ庁と連邦捜査局は、C、C++、およびその他のメモリが安全でない言語が潜在的なセキュリティ侵害の一因となっていると主張しています。

製品セキュリティベストプラクティスレポートによると、連邦政府はソフトウェアメーカーに対し、C/C++の使用を廃止し、「顧客リスクを軽減」できるその他の措置を講じるよう奨励しています。特に、CISA(連邦情報保護局)とFBIは、メモリ安全性ガイドラインへの準拠期限を2026年1月1日と設定しました。

この報告書は、特に重要インフラや国家の重要機能に携わるソフトウェアメーカー向けに、強制的なルールではなくガイドラインと推奨事項を網羅しています。各機関は、オンプレミスソフトウェア、クラウドサービス、そしてSaaS(Software as a Service)を特に強調しています。

「安全でない」言語の使用がメーカーの政府業務への参加資格を剥奪する可能性があるとは直接述べられておらず、報告書は「拘束力はない」が、そのメッセージは明快である。つまり、そのような慣行は、国家安全保障に関連すると分類されるいかなる業務にも不適切である、ということだ。

「このガイダンスの推奨事項に従うことで、メーカーは顧客に対して、顧客のセキュリティ成果に対する責任を負っているというシグナルを送ることになる。これはセキュア・バイ・デザインの重要な原則である」と報告書は述べている。

メモリ安全でないプログラミング言語は潜在的な欠陥をもたらす

報告書は、メモリ安全でない言語を「危険であり、国家安全保障上のリスクを著しく高める」と表現しています。メモリ安全でない言語での開発は、報告書で最初に言及されている慣行です。

メモリ安全性は、少なくとも2019年から議論の的となっています。CやC++などの言語は「メモリ管理において高い自由度と柔軟性を提供する一方で、メモリ参照に対する必要なチェックをプログラマーに大きく依存している」と、2023年のNSAによるメモリ安全性に関する報告書は述べています。しかし、報告書はさらに、これらの言語にはメモリ管理の問題を防ぐための固有のメモリ保護が欠けていると指摘しています。脅威アクターは、これらの言語で発生する可能性のあるメモリ問題を悪用する可能性があります。

ソフトウェアメーカーが2026年1月までにすべきこと

2026年1月1日までに、メーカーは以下の要件を満たす必要があります。

  • メモリ安全でない言語で書かれた既存製品のメモリ安全性ロードマップ。これは、「優先コード コンポーネントのメモリ安全性の脆弱性を排除するためのメーカーの優先アプローチを概説する必要があります。」
  • メモリ安全性ロードマップがメモリ安全性の脆弱性をどのように削減するかのデモンストレーション。
  • ロードマップに従う際の「合理的な努力」の実証。
  • あるいは、メーカーはメモリセーフ言語を使用する必要があります。

NSA によって承認されたメモリセーフ言語には次のものがあります。

  • パイソン。
  • ジャワ。
  • C#。
  • 行く。
  • Delphi/Object Pascal。
  • 迅速。
  • ルビー。
  • さび。
  • エイダ。

参照: パスワードマネージャーの利点、リスク、ベストプラクティス (TechRepublic)

その他の「悪い習慣」は、パスワードの悪さから情報開示の欠如まで多岐にわたる。

CISA と FBI によって「極めて危険」と分類されたその他の行為には、次のものがあります。

  • SQL データベース クエリ文字列の生のコンテンツにユーザーが直接入力できるようにします。
  • オペレーティング システムのコマンド文字列の生のコンテンツに、ユーザーが直接入力できるようにします。
  • デフォルトパスワードの使用。代わりに、メーカーは自社製品が「ランダムでインスタンス固有の初期パスワード」を提供すること、インストールプロセスの開始時にユーザーに新しいパスワードの作成を要求し、初期セットアップ時に物理的なアクセスを要求し、既存の導入環境をデフォルトパスワードから移行することを保証する必要があります。
  • CISA の既知の悪用された脆弱性 (KEV) カタログからの脆弱性を含む製品をリリースします。
  • 既知の脆弱性を持つオープンソース ソフトウェアの使用。
  • 多要素認証を活用できない。
  • 攻撃が発生した場合に侵入の証拠を収集する能力がない。
  • CVE の根底にある脆弱性の種類を示す Common Weakness Enumeration (CWE) を含む CVE をタイムリーに公開できない。
  • 脆弱性開示ポリシーを公開していない。

完全なレポートには、組織が政府機関のガイドラインに準拠するために使用できる推奨の次のステップが含まれています。

記事をシェア

こちらもご覧ください

  • オペレーション・マグナス:法執行機関による合同作戦が主要なインフォスティーラーネットワークを標的に
  • パスキーとは?定義、仕組みなど
  • 大手企業が評価するPythonスキルを40ドルで習得
  • プログラミング言語と開発者のキャリアリソース
メーガン・クラウスの画像

ミーガン・クラウス

メーガン・クラウスは、B2Bニュースおよび特集記事の執筆で10年の経験を有し、Manufacturing.netのライター、そして後に編集者として活躍しました。彼女のニュース記事や特集記事は、Military & Aerospace Electronics、Fierce Wireless、TechRepublic、eWeekに掲載されています。また、Security Intelligenceではサイバーセキュリティに関するニュースや特集記事の編集も担当しました。フェアリー・ディキンソン大学で英文学の学位を取得し、クリエイティブライティングを副専攻しました。

Tagged:

Related News