�Ȃ��A���܁u�Z�L���A�R�[�f�B���O�v�Ȃ̂��H�F�������ǒm�肽���A�Z�L���A�R�[�f�B���O�̊�{�i1�j�i1/2 �y�[�W�j
�����̃\�t�g�E�F�A���Ǝ㐫��������܂o�ׂ���A�s���A�N�Z�X��U���̋��Ђɂ��炳��Ă��邢�܁A�Z�L���A�ȊJ���Ɋւ���Z�p��o����L����v���O���}�������������߂���悤�ɂȂ�܂����B���̘A�ڂł�C/C++������ɁA�Z�L���A�R�[�f�B���O�œ��ɏd�v�ƂȂ�g�s�b�N�X���Љ�Ă����܂��B
�\�t�g�E�F�A�Z�L�����e�C���߂����
�@�������琔��ɓn���āuC/C++�Z�L���A�R�[�f�B���O�v�̘A�ڂ�S�������Ă����������ƂɂȂ�܂����AJPCERT�R�[�f�B�l�[�V�����Z���^�[�iJPCERT/CC�j�A�Ǝ㐫��̓`�[���̋v�ۂƌ˓c�ł��B��낵�����肢���܂��B��1��ڂ̖{�L���͋v�ۂ��S�����܂��B
�@�܂��n�߂ɁA�A�ڂ̃^�C�g���ɂ�����u�Z�L���A�R�[�f�B���O�v�Ƃ͉��Ȃ̂��A���t�̐��������˂āA���炽�߂čl���Ă݂����Ǝv���܂��B
�@�Z�L���A�R�[�f�B���O�Ƃ́A�U���҂�}���E�F�A�Ȃǂ̍U���ɑς�����A���S�ȃv���O���������������ł��B
�@�C���^�[�l�b�g�ɂȂ������V�X�e���̏�œ����\�t�g�E�F�A��\�t�g�E�F�A��g�ݍ����i�́A�l�b�g���[�N���o�R�����U���̋��Ђɏ펞���炳��Ă��܂��B�\�t�g�E�F�A�̂����̌��ׂ�o�O�ɂ���č�荞�܂��u�Ǝ㐫�v�́A�U���҂��H�����s���ȓ��̓f�[�^���v���O�����ɑ�����邱�ƂōU������A�v���O�����̃��[�U�[���Z�L�����e�B��Q���邱�ƂɂȂ�킯�ł��B
�@���̂悤�ȍU���̋��Ђ����炩���ߑz�肵�A���Ƃ��v���O�������Ӑ}���Ȃ��f�[�^��������Ƃ��Ă��A�Ӑ}�����ʂ萳�������삷��v���O���������������\�\�\�Ǝ㐫����荞�܂Ȃ����̃R�[�f�B���O��@���A�{�A�ڂ̃e�[�}�ł���Z�L���A�R�[�f�B���O�ł��B
�@�����ɂ̓\�t�g�E�F�A�̑����́A�Ǝ㐫��������܂o�ׂ���A�s��ɏo���A���̌��ʁA�قƂ�ǖ����̂悤�ɐƎ㐫����������Ă��܂��i��1�j�B���Ȃ݂�2011�N��1�N�ԂɌ��������\�t�g�E�F�A�̐Ǝ㐫�͖�7000���i��2�j�ł��B���̐����́A�����܂Ō��������Ǝ㐫�̐��ł���A�X�R�̈�p�ɂ����܂���B�Ǝ㐫�̑����́A�܂���������Ă��Ȃ������ŁA�����̃v���O�����ɐ��ݓI�ɑ��݂���ƍl�����܂��B
��1�F�Ⴆ�ΕM�҂炪�w�ǂ��Ă���oss-security�Ƃ����I�[�v���\�[�X�E�\�t�g�E�F�A�Ɋւ��郁�[�����O���X�g�i����OS�₻�̃p�b�P�[�W�֘A�j�ł́A�قƂ�ǖ����A�V�K�̐Ǝ㐫�ɂ��ĕ�����ACVE�ƌĂ��Ǝ㐫�̃��j�[�N�Ȏ��ʎq������U���Ă��܂��B
��2�Fosvdb.org ��2011�N1��1������2011�N12��31�܂ł̊��Ԃɓo�^���ꂽ�Ǝ㐫�̌�����7316�B
�Ǝ㐫�̃R�X�g
�@���̂悤�ɐƎ㐫�����u���ꑱ���Ă��錴����1�ɁA�R�X�g�̖��������܂��B�Ǝ㐫�̂Ȃ��\�t�g�E�F�A���J������ɂ͂������|����̂ł��B�v�i�K����Z�L�����e�B��̋��Ђ�z�肵�A�Ǝ㐫����荞�܂Ȃ����߂ɃZ�L���A�R�[�f�B���O�����H���c�c���X�A�Z�L���A�ȊJ���ɂ̓R�X�g��������܂��B�R�X�g�S����̂̓��[�U�[�ł���A�܂�̓\�t�g�E�F�A�̉��i�◘�p�����オ��Ƃ������Ƃł��B
�@����܂Ń��[�U�[���\�t�g�E�F�A�ɋ��߂Ă����̂́A��荂�����\�ł���A���D�ꂽ�@�\�ł����āA�Z�L���A�J���ɂ���ē�����u�����U������Ă���Q���Ȃ��\�t�g�E�F�A�̌��S���v�Ƃ����\�t�g�E�F�A�̕i���ł͂���܂���ł����B���邢�́A���������A�Z�L�����e�B�Ƃ����i���̃p�����[�^���������蔲�������Ă���A����܂Ō������炳��Ȃ������i���̕K�v���Ȃ������j�̂�������܂���B
�@������ɂ���A�U������Ȃ�������Q�Ɍ��ѕt�����Ƃ̂Ȃ��Ǝ㐫�����炩���ߎ�菜���Ƃ����C���Z���e�B�u�������ɂ����v�����A�\�t�g�E�F�A�̃}�[�P�b�g������܂Ŏx�z���Ă��܂����B
�@�������A���̎s��̗͊w�͕ς�����܂��B�܂��ς�炴��Ȃ��|�C���g�ɁA��X�͗�������Ă��܂��B���R�́A�ĂуR�X�g�̖��ł��B
�@�Ǝ㐫����荞�ނ��Ƃɂ���Ĕ������邳�܂��܂ȃR�X�g���A��荞�܂Ȃ��ꍇ�̃R�X�g������\�\���̂��Ƃ��A���͂△���ł��Ȃ����Ƃ��āA��X�ɓ˂������Ă���̂ł��B
�@�Ǝ㐫�ɑ���U���������邱�Ƃ͂���܂���B���X���������Ǝ㐫�B������U������exploit�̃c�[�����B�U���̎������Ɛ����B�[���f�C�Ǝ㐫�ƌĂ��p�b�`�̑��݂��Ȃ��Ǝ㐫�́A�����~����A�ꍇ�ɂ���Ă͐��疜�~�̒l�i�Ŕ��蔃������邱�Ƃ�����قǂ̌o�ω��l�������A�A���_�[�O���E���h�̃}�[�P�b�g�ł��Ƃ肳��Ă��܂��i��3�j�B
�@�T�C�o�[�푈�ɔ��������͂�L���鍑�������Ă������ŁA�������T�C�o�[�U�����邽�߂́u����v�Ƃ��ė��p�\�ȃ\�t�g�E�F�A�̐Ǝ㐫�́A�܂��܂����l�������ƂɂȂ�̂ł��傤���B2007�N���J�̉f��u�_�C�E�n�[�h4.0�v�ŕ`���ꂽ�A���d����H��̃v�����g�𐧌䂷��\�t�g�E�F�A�̐Ǝ㐫���U������u�T�C�o�[�e���v�́A��N2011�N�ɓo�ꂵ��Stuxnet�i�֘A�L���j�ɂ��A�����̋��Ђł��邱�Ƃ����炩�ɂȂ�܂����B�\�t�g�E�F�A�̐Ǝ㐫�͂��͂�A�]���̃\�t�g�E�F�A�J���҂ƃ��[�U�[�̎s��̘g���āA�Љ�C���t���⍑�ۊW�������������ɂ܂Ŕ��W���Ă��܂��B
��3�F�t�H�[�u�X���̎�ނɉ������o���R�N�����_�Ɋ�������Z�L�����e�B�����҂́A�n�b�J�[���������Ǝ㐫��č����{�W�҂ɔ���A15���̒���Ă���Ƃ����B "Shopping For Zero-Days: A Price List For Hackers' Secret Software Exploits" http://www.forbes.com/sites/andygreenberg/2012/03/23/shopping-for-zero-days-an-price-list-for-hackers-secret-software-exploits/
�Z�L���A�J���̌o�ϐ�
�u�\�t�g�E�F�A�̌��ׂ��o��Ɍ����ďC������ƁA�d�l�����v�i�K�Ɍ����ďC������ꍇ��100�{�̃R�X�g�����|����v
"Finding and fixing a software problem after delivery is often 100 times more expensive than fiding and fixing it during the requirements and design phase."
�@�@�\�\Barry Boehm�i��J���t�H���j�A��w�����A�\�t�g�E�F�A�G���W�j�A�����O�̐��Ɓj
�@�Ǝ㐫���Љ�ɗ^����e���܂ŃR�X�g�Ɋ܂߂Ă��܂��Ƙb�����G�ɂȂ邽�߁A�J���҂ƃ��[�U�[�A�\�t�g�E�F�A�r�W�l�X�̐��E�ɘb��߂��A�Ǝ㐫�ɂ��čl���Ă݂����Ǝv���܂��B
�@�O�q�̂悤�ɁA�Z�L���A�ȊJ�����s����ŏ�Q�ƂȂ�n�[�h����1�́A�R�X�g�̖��ł��B�ʏ�̊J���Ɋ|����R�X�g��100�ł���A�Z�L���A�ȊJ���ɒlj��Ŋ|����R�X�g��20�ł���A�Z�L���A�ȊJ���ɂ�120�R�X�g���|����܂��B����͒P���ȃR�X�g���ł���A�s�ꋣ���̒��R�X�g�팸�����߂��A�\�Z�̌���ꂽ�ł͓��������Ȃ��ł��傤�B
�@�������A���̃R�X�g�̍l�����ɂ͌����Ƃ�������܂��B����́A�J����ɔ������郁���e�i���X�R�X�g�ł��B�\�t�g�E�F�A�J���S�̂Ŋ|����R�X�g�́A�J���R�X�g�{�����e�i���X�R�X�g�ł���A���̃����e�i���X�R�X�g����߂銄���́A�S�̂�6�`8���ɏ��Ƃ������Ă��܂��i��4�j�B
�@�ȉ��A�b��P�������čl���܂��B���ɁA�����e�i���X�R�X�g��70���ł���v���W�F�N�g�ɂ����āA��葽���̊J�����ԂƃR�X�g���J���t�F�[�Y�ɔ�₹�A���̕������e�i���X�R�X�g���������܂��B��������������A�Z�L���A�ȊJ�����s�����ƂŁA���i�����[�X�O�̊J���Ɋ|����R�X�g�����������Ƃ��Ă��A�g�[�^���ł̊J���R�X�g�͉�����Ƃ����l�����ł��iTCO�̍팸�j�B�Ⴆ�ΊJ���R�X�g��30�A�����e�i���X�R�X�g��70�i�g�[�^����100�j�̊J���v���W�F�N�g�ɂ����āA30�{20��50�̃R�X�g���|���ăZ�L���A�ȃ\�t�g�E�F�A���J�����邱�ƂŁA�����e�i���X�R�X�g��70����30�Ɍ������ATCO�Ƃ��Ă�50�{30��80�̃R�X�g�ɗ}���邱�Ƃ��ł���̂ł��B
�@�J�����C�t�T�C�N���S�̂̃R�X�g�Ƃ��čl�����Ƃ��A�Z�L���A�J����TCO�̍팸�ɂȂ���Ƃ������Ƃ͐V�����b�ł͂Ȃ��ł��傤�B�J���t�F�[�Y�̏����̒i�K�Ńo�O���Ԃ��̂ɂ�����R�X�g�ƁA����̃t�F�[�Y�Ŋ|����R�X�g�ł�1500�{�̊J��������Ƃ����ABarry Boehm���̌����Ƃ���v���܂��i��5�j�B�Ǝ㐫�����ۂɍU������A���̔�Q��⏞����Љ�R�X�g�܂ł�z�肵���ꍇ�ATCO�̍팸�ɂȂ��邱�Ƃ͑z���ɓ����܂���B
| �X�e�[�W | ���C�R�X�g�iBaziuk���f���j | ���C�R�X�g�iBoehm���f���j |
|---|---|---|
| �v����` | 1X | 0.2Y |
| �V�X�e���v | - | 0.5Y |
| �R�[�f�B���O | - | 1.2Y |
| �V�X�e���e�X�g | 90X | 5Y |
| �o�בO�e�X�g | 90�`440X | 15Y |
| �����e�X�g | 440X | - |
| �^�p | 470�`880X�i*�v�ύX���K�v�ȏꍇ�́A�ő��2900�{�j | - |
��4�F"Facts on Software Maintenance Costs" http://www.ehow.com/about_6460450_software-maintenance-costs.html
��5�F"The Economic Impacts of Inadequate Infrastructure for Software Testing" http://www.nist.gov/director/planning/upload/report02-3.pdf
�Z�L�����e�B�����̂́u�l�v
�@�Z�L���A�J�����o�ϓI�ȃ����b�g�������炷�Ƃ���A�N���������������̂ł��傤���B�v���[���[�͂����܂Ől�A�v���O���}�ł��B
�@���܂�A�Z�L���A�R�[�f�B���O�ȂǁA�Z�L���A�ȊJ���Ɋւ���Z�p��o����L����v���O���}����苁�߂��鐢�E�ɃV�t�g���Ă��邱�Ƃ́A�ԈႢ����܂���B�R�[�h�������̂̓v���O���}�ł���A�R�[�h�𐳂����C���ł���̂��v���O���}�ł���Ƃ����\�t�g�E�F�A�G���W�j�A�����O�̃p���_�C���́A���炭�̊ԑ傫���ς�邱�Ƃ͂Ȃ������ł��B�R�[�f�B���O�i�K�ō���������Ǝ㐫����荞�܂Ȃ����߂̃Z�L���A�R�[�f�B���O�ł́A�v���O���}��l��l���Z�L���A�R�[�f�B���O�̐������m���������A���̃��[��������ăR�[�f�B���O���邱�Ƃ����߂��܂��B
�@�������A����ł��~�X������̂͐l�̏�B�q���[�}���G���[���t�����̂̃v���O���~���O�ɂ����ẮA�R�[�h��̓c�[���Ȃǂ𗘗p���A�R�[�f�B���O�G���[�����o���Ă����r�����邱�ƂŁA�R�[�h�̕i����Z�L�����e�B�̌����}�邱�Ƃ��ł��܂��B�������A�c�[���͖��\�ł͂���܂����i��6�j�B�ŏI�I�ɔ��f�������A�R�[�h���C������̂̓v���O���}�ł��B
�@�Z�L���A�ȃ\�t�g�E�F�A�J���ɂ����ẮA�o�ϐ��Ɋ�Â����s��̗͊w��ς��邱�Ƃ��d�v�ł����A�v���O���}�̈ӎ����v��A�Z�L���A�ȊJ�����s����v���O���}�̈琬���������炢�d�v�ɂȂ�܂��B
��6�F���I��̓c�[��Valgrind�̌��o���ʂ�K�ɏC�����Ȃ��������߂ɁADebian Linux�ŊǗ�����Ă���OpenSSL�̃��C�u�����ɒv���I�ȐƎ㐫����荞�܂ꂽ�����͂��܂�ɂ��L���ihttp://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0166�j
Copyright © ITmedia, Inc. All Rights Reserved.
��IT eBook
���ڂ̃e�[�}
ITmedia�̓A�C�e�B���f�B�A������Ђ̓o�^���W�ł��B