「セキュア・バイ・デザイン」では何に気を付ければいいのか？ 例を挙げて解説：Cybersecurity Dive

CISAはセキュア・バイ・デザインの原則を適用する方法をスマートフォンを狙うサイバー攻撃を例に解説した。

[Matt Kapko，Cybersecurity Dive]

　米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は顧客ではなくメーカーやベンダーにセキュリティの責任を負わせる取り組みを推進する中で、全ての関係者からの領収書を求めている。

　CISAはガイダンスを改訂し（注1）、テクノロジー企業に対して詳細なデータとログで自社製品にセキュリティを組み込んでいることを証明するよう促した。これを受けて、CISAのシニア・テクニカルアドバイザーであるボブ・ロード氏は、2023年11月16日（現地時間、以下同）のブログ投稿で（注2）、これらの責任がハードウェアとソフトウェアのさまざまな関係者にどのように影響を及ぼすかを説明した。

どのようなコードにも欠陥や安全ではない初期設定がある

　「消費者向け製品や企業向け製品のセキュリティは、運命に左右されるようなものではない。セキュリティは、製品が設計される前からメーカーが意識的かつ継続的に行ってきた多くの選択の結果である」とロード氏は述べている。

　ロード氏は「セキュア・バイ・デザイン」の原則を（注3）、公共のUSB充電ステーションを介して携帯電話にマルウェアをインストールする「ジュースジャッキング攻撃」の文脈で説明した。「ジュースジャッキング攻撃が実際に実行された証拠はなく、報告も未確認だが、どんなコードにもセキュリティ上の欠陥や安全でない初期設定があるため、攻撃自体は不可能ではない」とロード氏は述べた。

　ロード氏によると、この仮説は幾つかの重要な問題を提示している。

• モバイルデバイスのメーカーは、これらの攻撃に関連する脆弱（ぜいじゃく）性にどのように対応しているか。問題の修正に関してコミットメントを実施したかどうか。それはいつ実施されたか
• 特定のハードウェアの部品は、他の部品よりも脆弱なのか
• この脅威は全てのモバイルデバイスのOSに影響を与えるのか
• これらの攻撃を防ぐために、ユーザーは設定や構成を変更できるのか。メーカーは、将来のバージョンでこれらの設定をデフォルトにすることができるのか
• ユーザーはどのような方法で自分の携帯電話に侵害の兆候がないかチェックできるのか。メーカーは、ユーザーがより適切な行動を取れるように、ダイアログや確認アラートを改善できるかどうか

　「攻撃者が与える可能性がある被害ではなく、顧客の安全を守るためにメーカーが何をしているかに焦点を当てるべきだ。私たちは無力さを示し続けるのではなく、能力向上の観点から議論を展開すべきだ。要するに、メーカーは、安全性に関する責任を顧客に負わせず、設計の段階から安全な製品を開発しなければならない」とロード氏は述べた。

（注1）CISA launches new phase of Secure by Design to push global industry on software security（Cybersecurity Dive）
（注2）Applying “Secure By Design” Thinking to Events in the News（CISA）
（注3）Explore the core tactics of secure by design and default（Cybersecurity Dive）

原文へのリンク