CISA、日本のNISCらと協力し、セキュア・バイ・デザインに関する資料のアップデート版を提供：セキュリティニュースアラート

CISAはJPCERT/CCやNISCと協力し、セキュア・バイ・デザインの原則とアプローチに関するガイダンスのアップデート版を公開した。この原則に向けた企業の具体的なコミットメントをまとめている。

[後藤大地，有限会社オングス]

　米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は2023年10月16日（現地時間）、米国および国際的なパートナーと共同で、セキュア・バイ・デザインの原則とアプローチに関するガイダンス「Secure-by-Design - Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Secure by Design Software」のアップデート版を公開した。

　このガイダンスはソフトウェアメーカーに対して製品の設計や開発、提供の際にセキュリティを最優先にするように緊急で求める内容になっていて初期のバージョンは2023年4月に公開された。

CISAは「Secure-by-Design - Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Secure by Design Software」のアップデート版を公開した（出典：CISAのWebサイト）

日本のNISCらとも連携し、ガイダンスをアップデート

　ガイダンスのアップデート版はCISAだけでなく米国連邦調査局（FBI）、米国家安全保障局（NSA）が関与している他、8つの新しい国際機関の共同作業によって作られた。日本からはJPCERTコーディネーションセンター（JPCERT/CC）と内閣官房内閣サイバーセキュリティセンター（NISC）が協力している。

　今回公開されたガイダンスでは、数百の企業や非営利団体、個人からのフィードバックを反映し、初期のガイダンスで定義された3つの原則「顧客のセキュリティ成果のオーナーシップを持つ」「根本的な透明性と説明責任を受け入れる」「トップからリードする」をアップデートした。セキュア・バイ・デザインをどのように顧客やユーザーに示すかを強調し、ソフトウェアメーカーはセキュリティに基づいて競争する必要があると主張する。

　CISAは「将来的にはセキュア・バイ・デザインの実践に関する情報提供の要求を発表し、同ガイダンスに関するフィードバックを求めるとともに、セキュア・バイ・デザインの原則に従って企業が採るべきステップを分析する」と説明する。

　NISCの鈴木敦夫氏（内閣サイバーセキュリティセンター長）は今回の発表に対して「セキュリティ・バイ・デザインの概念は、日本のサイバーセキュリティ戦略に既に組み込まれている。この最新のガイダンスはセキュリティ・バイ・デザインの概念を形作るものであり、日本の戦略とも合致している。日本の戦略に基づく具体的な措置の実施に貢献するこの最新のガイダンスを共同で締結したことをうれしく思う」とコメントした。

　今回のアップデートで注目されるのは、企業が具体的にセキュリティ・バイ・デザイン原則へのコミットメントをどのように示すかが明示された点にある。企業は新しいガイドラインに基づいて具体的なアクションを示すことがこれまでもよりも明確になった。