ホワイトハウスと Office of the National Cyber Director が新たなレベルのセキュリティを呼びかけ

ホワイトハウスは先日、「将来のソフトウェアはメモリの安全性が確保されるべき」とする根拠を述べた Office of the National Cyber Director (ONCD) による報告書を紹介するプレスリリースを発表しました。これは、私たちにとって非常に喜ばしいことです。私たちは長い間、Fastly Compute プラットフォーム上でこの目標に向けて取り組んできました。そのため、ONCD の姿勢を歓迎すると同時に、「現在の」ソフトウェアにおいてもこれを実現し、取り組みをさらに加速する方法があることをテクノロジーコミュニティに示したいと考えました。このブログ記事では、ホワイトハウスの声明をまず確認し、既存コードのメモリの安全性も確保できる方法をご説明します。ホワイトハウスは次のように述べています。

「テクノロジー企業がメモリの安全性が高いプログラミング言語を採用することで、あらゆる種類の脆弱性がデジタルエコシステムに侵入するのを防ぐことができる」 (出典)

何十年にもわたりソフトウェアをむしばんできた、あらゆる種類のバグの問題を実質的に解決し、何百万人、何十億人ものユーザーに安全性が大幅に強化されたインターネットを提供することを目指す、より壮大なムーブメントにおける大きなマイルストーンであるという意味において、私たちはこの発表を非常に嬉しく思います。ONCD は報告書のなかで、プログラミング言語を重要な構成要素として特定しています。 

「本報告書では主要な構成要素としてプログラミング言語に着目し、同様の結果を達成するための補完的なアプローチとしてハードウェアアーキテクチャと形式手法について検討する」 (出典)

これはすばらしいことですが、始まりにすぎません。次の必要なステップは、メモリの安全性が考慮されていない言語のセキュリティと保護を強化することです。Rust のようにメモリの安全性が高い新しいプログラミング言語は非常に優れており、この革命のベースとなるものです。しかし、インターネット上のすべてのコードが優れた新しい言語で書き換えられることは期待できません。ここで重要なポイントは、「安全性の低い」既存言語のセキュリティを強化する方法があるということです。

Fastly Compute のようなセキュア・バイ・デザインのプラットフォームの構築です。メモリの安全性が高い言語で構築されたプログラミング環境を提供し、形式的検証の手法が採用されているプラットフォームの場合、その安全性を信頼できます。

私たちも、安全な言語の使用を勧める ONCD と同じ考えだからこそ、Rust を使用して Fastly プラットフォームを構築し、Rust や JavaScript、Go など、安全性の高い複数の言語で SDK を提供しているのです。また、形式手法の使用に関しても ONCD と同意見で、CraneLift など、Fastly プラットフォームの重要な部分では形式手法を使用しています。しかし、メモリの安全性が低い言語を使用して記述され、すでにデプロイ済みで実際に使用されている何十億行ものコードについてはどうでしょう? 世界中の組織にすべてを止めて、それらのコードを Rust で書き換えるよう呼びかけるのは実用的ではありません。特効薬のようなものはありませんが、私たちはリスクを大幅に緩和できるテクノロジーに取り組んでいます。「WebAssembly」です。

WebAssembly は複数の方法でリスクを軽減できます。まず、WebAssembly の保護されたスタックにより、コントロールフローの完全性が得られます。次に、WebAssembly の軽量なサンドボックスを利用し、きめ細かい隔離 (リクエスト間および Fastly プラットフォームからのリクエストの隔離など) が可能です。さらに、単一プラットフォームの各パーツを互いに隔離し、最小権限の原則の実施を可能にする「Component Model」に私たちは取り組んでいます。

Fastly チームのメンバーは、プログラミング言語 Rust の作成から WebAssembly の進化と拡大、より安全性の高い新しいプロトコルの作成まで、インターネットの安全な未来を促進するプロジェクトにおいて、先駆的な役割を担っています。私たちがこのようなプロジェクトに参加しているのは、インターネット上でのエクスペリエンスが単に高速なだけではなく、すべてのユーザーにとってより安全で優れた未来の実現に取り組むことの重要性を確信しているためです。 

何よりも、いつ来るか分からない未来の始まりをただ待っている必要はありません。Fastly Compute を使用することで、Fastly の超高速グローバルプラットフォームのパワーを活かし、より素晴らしいインターネットの未来に向けた取り組みを今すぐ開始できます。現時点ではメモリの安全性やセキュアなコンピューティングに関する問題がすべて解決されたとは言えませんが、エコシステムが十分に成熟した今、関係者全員が問題の解決に向けて大きく飛躍すべきです。

組織が迅速に安全性を高め、ONCD の報告書にある推奨事項へのコンプライアンスを実現する方法に興味がおありの場合は、連絡ください。  アプリケーションやワークロードをデフォルトで安全にする方法をぜひご紹介します。

私たちもホワイトハウスと ONCD に同感しますが、プレスリリースでの聞こえが良いという理由だけで、このような取り組みに飛びつくべきではありません。アプリケーションの安全性を強化すること、安全性の低いメモリに起因するバグから組織を保護すること、そして何よりもエンドユーザーにより安全で優れたエクスペリエンスを提供することを目指すべきです。 

Fastly では、インターネットをより良いものにするために何をすべきかについて常に話し合っています。より安全なソフトウェアで構成されるインターネットの実現を目指す今回の呼びかけは、このようなミッションの重要な部分を占め、私たち全員がこれに協力できると考えています。これが、皆さんが望むセキュリティの形や参加したいと感じるビジョンと一致する場合は、ぜひ連絡ください

Anil Dash
VP Developer Experience
Luke Wagner
Distinguished Engineer
投稿日

この記事は4分で読めます

興味がおありですか?
エキスパートへのお問い合わせ
この投稿を共有する
Anil Dash
VP Developer Experience

Anil Dash は Fastly の Developer Experience チームと Compute プロダクトチームを統括し、Fastly のプラットフォーム上で構築する開発者をサポートしています。Anil は2022年に Fastly に買収された Glitch の CEO を務めていました。2022年にウェビー賞の Lifetime Achievement Award を受賞したほか、オバマ政権時代にはホワイトハウスの Office of Digital Strategy のアドバイザーを務め、Wired のコラムニストとしても活躍しました。

Luke Wagner
Distinguished Engineer

Luke Wagner 氏は Fastly の Distinguished Engineer として WebAssembly の標準と進化に取り組んでいます。Fastly 入社前は、10年以上にわたり Mozilla に勤務しました。同社では Firefox や JavaScript エンジン、パフォーマンス、セキュリティ、Web 標準の分野に従事し、この間に WebAssembly を共同作成して Firefox での実装を指揮しました。W3C WebAssembly Working Group の共同リーダーを務め、現在は WebAssembly Component Model の提案を進めています。

Fastly試してみませんか ?

アカウントを作成してすぐにご利用いただけます。また、いつでもお気軽にお問い合わせください。