CISAはセキュア・バイ・デザインの原則を適用する方法をスマートフォンを狙うサイバー攻撃を例に解説した。
この記事は会員限定です。会員登録すると全てご覧いただけます。
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は顧客ではなくメーカーやベンダーにセキュリティの責任を負わせる取り組みを推進する中で、全ての関係者からの領収書を求めている。
CISAはガイダンスを改訂し(注1)、テクノロジー企業に対して詳細なデータとログで自社製品にセキュリティを組み込んでいることを証明するよう促した。これを受けて、CISAのシニア・テクニカルアドバイザーであるボブ・ロード氏は、2023年11月16日(現地時間、以下同)のブログ投稿で(注2)、これらの責任がハードウェアとソフトウェアのさまざまな関係者にどのように影響を及ぼすかを説明した。
「消費者向け製品や企業向け製品のセキュリティは、運命に左右されるようなものではない。セキュリティは、製品が設計される前からメーカーが意識的かつ継続的に行ってきた多くの選択の結果である」とロード氏は述べている。
ロード氏は「セキュア・バイ・デザイン」の原則を(注3)、公共のUSB充電ステーションを介して携帯電話にマルウェアをインストールする「ジュースジャッキング攻撃」の文脈で説明した。「ジュースジャッキング攻撃が実際に実行された証拠はなく、報告も未確認だが、どんなコードにもセキュリティ上の欠陥や安全でない初期設定があるため、攻撃自体は不可能ではない」とロード氏は述べた。
ロード氏によると、この仮説は幾つかの重要な問題を提示している。
「攻撃者が与える可能性がある被害ではなく、顧客の安全を守るためにメーカーが何をしているかに焦点を当てるべきだ。私たちは無力さを示し続けるのではなく、能力向上の観点から議論を展開すべきだ。要するに、メーカーは、安全性に関する責任を顧客に負わせず、設計の段階から安全な製品を開発しなければならない」とロード氏は述べた。
(注1)CISA launches new phase of Secure by Design to push global industry on software security(Cybersecurity Dive)
(注2)Applying “Secure By Design” Thinking to Events in the News(CISA)
(注3)Explore the core tactics of secure by design and default(Cybersecurity Dive)
© Industry Dive. All rights reserved.