セキュリティ・バイ・デザイン実現のためにCISAが掲げる3つの原則：Cybersecurity Dive

バイデン政権は、サイバーセキュリティに関する国家安全保障戦略を展開する際に、テック企業が企画や設計段階からセキュリティを確保できる、より安全な開発手法を重視しているようだ。

[David Jones，Cybersecurity Dive]

　連邦政府当局と業界を代表する専門家は、「テックユーザーは、もはや使用するアプリケーションに埋め込まれたセキュリティ上の欠陥を1つずつ探し出す余裕はない」という結論に達した。

　その結果、責任の所在が大きく変化している。バイデン政権幹部はテック企業に対して、設計や開発段階でより良いセキュリティを製品に組み込むよう求めている。

　米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）のジェン・イースタリー氏は米カーネギーメロン大学での講演で、「私たちは生活のあらゆるシーンでテクノロジーを取り入れるようになったため、知らず知らずのうちにそうしたテクノロジーが設計上危険であることを当たり前のように受け入れてしまっている」と述べた（注1）。

セキュリティ意識の低いテック企業に対し、CISAの警告は届くのか

　CISAはセキュリティ・バイ・デザインの理念を実現するために、以下に挙げる3つの基本原則を示す。

• 安全性の負担を顧客だけに負わせることは決してあってはならず、業界はセキュリティの成果に対する責任を持つ必要がある
• メーカーは、消費者の安全に関する課題の範囲を開示し、消費者の理解を深めるために、徹底して透明性を高める必要がある
• テック業界のリーダーは、安全な製品の構築に注力し、セキュリティ・バイ・デザイン技術の開発や更新方法を説明するロードマップを公開する必要がある

　CISAは、高度な技術を持たない多くの中小企業を非難することから、リリース前に多くのセキュリティ問題の指摘やテストをしばしば怠っているテック企業へと議論を移そうとしている。

　イースタリー氏は、20世紀に消費者運動家ラルフ・ネーダー氏が、米デトロイトの自動車企業に対して、自動車の設計にドライバーの安全性への配慮を組み込むよう迫ったことを引き合いに出した（注2）。

　1960年代から70年代にかけて、ネーダー氏がシートベルトに内蔵された衝突防止機能の欠如を訴えたり、後にエアバッグを推進したりした自動車業界のように、業界ではより安全な製品を作るためにもっとできることがある。

　Gartnerのアナリスト、カテル・ティーレマン氏は「安全性やセキュリティ、信頼性よりも市場投入のスピードが優先されるという現在のアプローチが長続きしないことは明白だ」と電子メールで伝えた。

　イースタリー氏はまた、ナレッジの共有を怠り、セキュリティを組織のIT担当者に委ねてしまうという、現実逃避のようなアプローチを訴えた。

　「このため脅威アクターは何度も同じ手口を使って、他の組織を危険にさらすのと同じ手法で攻撃を仕掛けられる」（イースタリー氏）

　またイースタリー氏は、深刻化する問題を無視する状況、社会学者ダイアン・ヴォーンが1986年のスペースシャトル「チャレンジャー号」の爆発事故について書いた本の中で提唱している理論、「逸脱の常態化」の一例であるとも述べた。

（注1）CISA director urges tech industry to take responsibility for secure products（Cybersecurity Dive）
（注2）REMARKS AS PREPARED FOR DELIVERY: CISA Director Jen Easterly's Address at Carnegie Mellon University（CISA）

原文へのリンク