セキュリティに対する責任を求められるベンダー

　Infosecurity Europe 2008で、ハードウェアやソフトウェアのセキュリティについては、サプライヤーが責任を問われるべきだという専門家の意見が出た。

　セキュリティ専門家によれば、企業が自社のIT環境を安全にするために大変な労力を払わなくてはならない場合があると一方で、テクノロジーベンダーは自社のハードウェアやソフトウェアが十分な水準に達するように、より努力すべきだという。

　現地時間4月22日にInfosecurity Europe 2008で行われたパネルの議論では、セキュリティ専門家がずらりと並び、ハッカーが攻撃コードを発見している問題の責任はソフトウェアメーカーにあると非難した。「アプリケーションが新たな攻撃目標になっている」とSANS InstituteのAlan Paller氏述べ、あるOracleのユーザーは所有するシステムに対し8万回の攻撃を受けたと話した。

　Barclaysの最高情報セキュリティ責任者であるRhonda MacClean氏は、同氏の会社がサプライヤーから購入しているソフトウェアの大部分に対し定期的に行っているセキュリティに関するテストについて、詳しく説明した。

　「他の誰かが書いたソフトウェアを使っている場合でも、そのコードのセキュリティに対する責任からは逃れられない」とMacClean氏は述べ、定期的な更新やサービスパックが、社内のIT専門家の業務を困難なものにしていると付け加えた。「コードに慣れた途端に、次のバージョンが出てきてしまう」（MacClean氏）

　しかし、一部のソフトウェアメーカーのコードには問題があるにも関わらず、組織内で使うコードに対する究極的な責任はIT部門にある。

　「われわれはセキュリティに関するコードはA+の水準のものであって欲しいと考えている。しかし、われわれが（Barclaysで）コードをテストしてみると、多くのコードはC+の成績しか取れないものだ」（MacClean氏）

　MacClean氏によれば、この問題は比較的簡単に改善できるという。「われわれは（サプライヤーと）この問題について話しており、その結果よりよいコードを入手することができている」と、同氏は話している。