CISAは情報提供依頼書を発行し、コストや高等教育にセキュリティに関する事項を組み込む方法、繰り返し発生する脆弱性を減らす方法について、業界からの意見を求めている。
この記事は会員限定です。会員登録すると全てご覧いただけます。
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は(注1)、開発手法の大幅な変更を通じてソフトウェアのセキュリティを向上させる国際的な取り組みに関する意見を求めている。
2023年12月20日(現地時間、以下同)に発表された情報提供依頼書は(注2)、ソフトウェアを開発するライフサイクルにセキュリティを組み込む最善の方法について意見を求めるもの。具体的には、繰り返し発生するソフトウェアの脆弱(ぜいじゃく)性にどのように取り組むか、高等教育にどのようにセキュリティを導入するか、運用技術におけるセキュリティをどのように強化するか、また、安全な実務がコストにどのような影響を与えるかについて聞いている。
CISAのディレクターであるジェン・イースタリー氏は「私たちの目標は、技術が設計段階から安全なものとなる未来を実現することであり、それには全てのメーカーによる行動と、全ての消費者による明確な要求が必要だ。そのため、私たちは入念に意見を求め、それらを取り入れなければならない」と話した。
CISAは、バイデン政権の大規模な取り組みの一環として、セキュリティをソフトウェア開発の中核的な要素とするために、セキュア・バイ・デザインの原則を取り入れるよう業界に積極的に働きかけてきた(注3)。
悪意のあるハッカーや国家の後ろ盾を得た脅威グループは多くの場合、古いバージョンを使い続ける企業や緊急のセキュリティパッチを適用していない顧客の環境に残っている重大な脆弱性を悪用して攻撃を仕掛けてきた。
Boeingや(注4)、米国のメディア企業Comcastなどの大手企業は(注5)ネットワーク機器「NetScalerADC」「NetScaler Gateway」に存在したバッファオーバーフローに関する重大な脆弱性「CitrixBleed」を悪用され被害に遭った。(注6)。
セキュア・バイ・デザインの計画に詳しい情報筋によると、ソフトウェアメーカーはこの取り組みに対する支持を表明しているが、CISAは正式な意見をさらに必要としているという。
2023年12月の初め、IT-ISACはクラウドおよび重要なSaaSプロバイダーがセキュア・バイ・デフォルトの原則を受け入れるよう求めるホワイトペーパーを発表した。これは、CISAによるセキュア・バイ・デザインを強調する取り組みの一環である。
ソフトウェア企業Guidewire SoftwareのCISO(最高情報セキュリティ責任者)であり、IT-ISACによるレポートの共著者であるジェームズ・ドルフ氏は「セキュア・バイ・デフォルトは多くのソフトウェア開発者が歩んでいる道だ。私たちが発表したホワイトペーパーの目的は、エンジニアやユーザーエクスペリエンスの専門家、セキュリティチームが、顧客や他のユーザーにとってより良い結果を実現するために協力できるように、目標を明確に定義することだ」と語った。
提案された変更により(注7)、多要素認証のデフォルトでの導入、秘密情報の自動的なローテーション、昇格アクセス権に時間制限を設けることなどが、クラウド企業に求められる可能性がある。
情報提供依頼書の回答期限は2024年2月20日である。
(注1)CISA Issues Request For Information on Secure by Design Software Whitepaper(CISA)
(注2)Request for Information on “Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Secure by Design Software”(FEDERAL REGISTER)
(注3)CISA launches new phase of Secure by Design to push global industry on software security(Cybersecurity Dive)
(注4)CitrixBleed worries mount as nation state, criminal groups launch exploits(Cybersecurity Dive)
(注5)Comcast’s Xfinity discloses massive data breach linked to CitrixBleed vulnerability(Cybersecurity Dive)
(注6)CitrixBleed isn’t going away: Security experts struggle to control critical vulnerability(Cybersecurity Dive)
(注7)It’s Time to Elevate.(IT-ISAC)
© Industry Dive. All rights reserved.