CISAとパートナー機関がセキュア・バイ・デザインの原則を発表 ソフトウェア業界にどのような影響が：Cybersecurity Dive

CISAは主要な関係者と協力してセキュア・バイ・デザインの原則を発表した。これらが業界慣習に大規模な変更をもたらす可能性がある。

[David Jones，Cybersecurity Dive]

　米国サイバーセキュリティ・社会基盤安全保障庁（以下、CISA）は、主要な連邦政府機関および国際的なパートナーと製品セキュリティの責任を世界のテクノロジー産業に負担させるための原則と手順を発表した（注1）。バイデン政権はソフトウェアメーカーに対して、設計および生産工程でセキュリティが重要な要素として製品に組み込まれるように求めていた。

　CISAのディレクターであるジェン・イースタリー氏は「ソフトウェアメーカーが製品の設計初期段階でセキュリティを組み込むことは、安全で技術的なエコシステムを構築する上で極めて重要です。セキュア・バイ・デザインおよびセキュア・バイ・デフォルトの原則は世界中の業界に変化を促し、技術に関する全てのユーザーの保護を強めます」と述べた。

目指すは「世界的なテクノロジー企業が製品セキュリティの責任を負担する状態」

　CISAは連邦捜査局（FBI）や国家安全保障局、英国、カナダ、ドイツ、オランダ、オーストラリア、ニュージーランドの国家サイバーセキュリティ当局と共同で活動を行っている。セキュア・バイ・デザインはバイデン政権における国家サイバーセキュリティ戦略の中核をなすもので（注2）、悪意ある国家や攻撃者によるサイバー活動の高まりから米国とグローバルパートナーを守るための政策構想だ。

　具体的な方法としては、消費者や中小企業および重要なインフラ提供者から責任を取り除く予定だ。その代わりに、企業の将来への投資の背後で何十億ドルもの利益を上げている世界的なソフトウェアおよびサービス提供者に負担を課すつもりだ。

　CISAはこれらの企業に対して、製品設計や生産工程で安全な手法を取り入れるのはもちろん、差し迫った攻撃やデータ漏えいのリスクを顧客にもたらす欠陥が発見された場合は完全かつ透明な開示するように求めている。

　CISAのシニア・テクニカルアドバイザーで、セキュア・バイ・デザインの起草に主導的な立場で参加したボブ・ロード氏は「組織には製品の構築方法や品質の評価方法および特定のセキュリティ機能の導入評価方法についてより深く考えてほしい」と述べている。

　また、CISAは提案された変更について主要関係者と協議を始めており、業界の有力者は提案を受け入れる一方で、これらの提案が業界慣習や長年のビジネス慣行に大規模な変更をもたらすとも理解しているようだ。

　規制変更をメカニズムとして浸透させるには議会の介入が必要だろうと関係者は述べているが、初期段階では技術担当の最高幹部がそれぞれの会社にトップダウンで文化的な変革を促すことが重要だ。

　CISAは脅威によるシステムの侵害やデータアクセスを防ぐため、ソフトウェアメーカーが製品開発工程でカスタマイズされた脅威モデルを使用することを求めている。今回の変更を受け、これらの組織がどの程度の成果を上げているかを測定する方法が必要になる。

政権がソフトウェア業界を支援する見通しは？

　バイデン政権の担当者は、連邦政府がソフトウェア業界における製品のセキュリティを高い水準で維持できるように支援する見通しを示している。Gartnerでシニアディレクター　アナリストを務めるデール・ガードナー氏は「この原則は、具体的な技術的指針を示すことよりも、積極的で広範なビジョンを推進するという点で注目に値します」と述べている。

　CISAの計画の最も重要な側面は、政治的な意志が存在すれば既存の技術の不十分な利用の問題が実際に解決可能だという認識に立脚している点だ。

　「これらの変化は容易には実現しないでしょう。それには考え方や優先順位に関する変化はもちろん、トレーニングやツールおよびプロセスへの投資も必要だからです」（ガードナー氏）

（注1）Secure by Design, Secure by Default（CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY）
（注2）White House releases national cyber strategy, shifting security burden（Cybersecurity Dive）

原文へのリンク