ソフトウェアセキュリティ
ソフトウェアのセキュリティは、いくつかの観点から見ることができます。
まず、ソフトウェアを開発する組織は、開発した製品が信頼できるものであることを保証するために、安全なプロセスを導入する必要があります。これは、継続的インテグレーション/継続的ディストリビューションプロセス(CI/CD)の一環として、ソフトウェア開発ライフサイクル(SDLC)を実施し、習得することで実現できます。
第二に、組織の枠組みやプロセスの中で、安全なコーディングルールや脆弱性評価などを用いて、安全なソフトウェア設計を実施する必要があります。
最後に、開発されたソフトウェア製品の目的は、ユーザーが安全な機能やサービスを実行できるようにすることです。したがって、ソフトウェアシステムと、それが処理するデータは信頼できるものでなければなりません。
セキュリティは、組織のセキュリティおよび品質プロセスの一部として、例えば自動車のサイバーセキュリティに関するISO21434などの規格の推奨事項に従って実装することができます。また、現代のソフトウェア開発で一般的に使用されているCI/CDやSLDCのガイドラインやベストプラクティスからも利益を得ることができます。
ソフトウェア製品は、対応する規格や市場セグメントに適したコーディングルールで開発し、開発サイクルを通じて適切な静的・動的ツールで検証する必要があります。脆弱性評価は、開発サイクルの中で実施することができる。
Common Weakness Enumeration(CWE)は参照用チェックリストとして、Common Vulnerability and Exposures(CVE)は既に市場に出ている製品の回避・解決すべき問題点や、一般的に使われているであろうツールやライブラリに関する情報源として、定期的に利用できます。ソフトウェアツールは常に最新版であるべきで、旧版は使用すべきではありません。また、脆弱性が発見された場合にも、CVEは新しい情報を受け取ることがあります。
セキュリティソフトウェアは、鍵の生成や鍵の導出など様々なサービスを行うことができ、生成された鍵は様々な暗号操作に使用さます。
また、セキュリティソフトウェアは、対称型暗号・復号、公開鍵暗号・復号、デジタル署名生成・検証のいずれかの各種暗号機能を実行し、例えば、ユーザー認証に使用することもできる。
この点については、Secure-ICのソフトウェア暗号ライブラリソリューションが対応しています。このソリューションには、AES、RSA暗号、ECC暗号、ハッシュ関数、MAC関数などの暗号アルゴリズムのソフトウェア実装が多数含まれています。
ソフトウェア暗号ライブラリには、主に以下の機能があります
- 100%ソフトウェアで、C言語で開発されています
- 様々な攻撃への対策が組み込まれています
- 対応するCPUアーキテクチャ。インテル、ARM、RISC-V、他
- 対応OS:ベアメタル、Linux、Windows、Android、IoSなど