CISA、日本のNISCらと協力し、セキュア・バイ・デザインに関する資料のアップデート版を提供:セキュリティニュースアラート
CISAはJPCERT/CCやNISCと協力し、セキュア・バイ・デザインの原則とアプローチに関するガイダンスのアップデート版を公開した。この原則に向けた企業の具体的なコミットメントをまとめている。
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は2023年10月16日(現地時間)、米国および国際的なパートナーと共同で、セキュア・バイ・デザインの原則とアプローチに関するガイダンス「Secure-by-Design - Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Secure by Design Software」のアップデート版を公開した。
このガイダンスはソフトウェアメーカーに対して製品の設計や開発、提供の際にセキュリティを最優先にするように緊急で求める内容になっていて初期のバージョンは2023年4月に公開された。
CISAは「Secure-by-Design - Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Secure by Design Software」のアップデート版を公開した(出典:CISAのWebサイト)
日本のNISCらとも連携し、ガイダンスをアップデート
ガイダンスのアップデート版はCISAだけでなく米国連邦調査局(FBI)、米国家安全保障局(NSA)が関与している他、8つの新しい国際機関の共同作業によって作られた。日本からはJPCERTコーディネーションセンター(JPCERT/CC)と内閣官房内閣サイバーセキュリティセンター(NISC)が協力している。
今回公開されたガイダンスでは、数百の企業や非営利団体、個人からのフィードバックを反映し、初期のガイダンスで定義された3つの原則「顧客のセキュリティ成果のオーナーシップを持つ」「根本的な透明性と説明責任を受け入れる」「トップからリードする」をアップデートした。セキュア・バイ・デザインをどのように顧客やユーザーに示すかを強調し、ソフトウェアメーカーはセキュリティに基づいて競争する必要があると主張する。
CISAは「将来的にはセキュア・バイ・デザインの実践に関する情報提供の要求を発表し、同ガイダンスに関するフィードバックを求めるとともに、セキュア・バイ・デザインの原則に従って企業が採るべきステップを分析する」と説明する。
NISCの鈴木敦夫氏(内閣サイバーセキュリティセンター長)は今回の発表に対して「セキュリティ・バイ・デザインの概念は、日本のサイバーセキュリティ戦略に既に組み込まれている。この最新のガイダンスはセキュリティ・バイ・デザインの概念を形作るものであり、日本の戦略とも合致している。日本の戦略に基づく具体的な措置の実施に貢献するこの最新のガイダンスを共同で締結したことをうれしく思う」とコメントした。
今回のアップデートで注目されるのは、企業が具体的にセキュリティ・バイ・デザイン原則へのコミットメントをどのように示すかが明示された点にある。企業は新しいガイドラインに基づいて具体的なアクションを示すことがこれまでもよりも明確になった。
関連記事
- やりがちなセキュリティのNG設定トップ10 CISAとNSAが共同発表
CISAとNSAはサイバーセキュリティの誤設定に関する共同アドバイザリを公開した。組織にありがちな10の誤設定とその対策について解説する。 - MFAとSSOの導入・運用を助ける新たなガイドライン CISAとNSAが共同発表
CISAとNSAはIDやアクセス管理に関連した新たなガイドラインを発表した。このガイドラインは従来の認証方法の限界とMFAやSSO導入の重要性に焦点を当てている。 - 見るべきは「CVSSスコア」“だけ”でいいのか? 脆弱性管理に役立つ指標をまとめてみた
脆弱性管理は単純なようで非常に難しい課題です。これを手助けする指標としては皆さんもご存じのCVSSがありますが、この指標だけを頼りにするのはおすすめしません。 - 成功するセキュリティ担当者に共通する「5つの行動」
Gartnerは有能なCISOが実践している5つの行動を明らかにした。成功しているCISOはそうでないCISOと比較してこれらの5つの行動が1.5倍多く見られるという。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.