「セキュア・バイ・デザイン」では何に気を付ければいいのか? 例を挙げて解説:Cybersecurity Dive
CISAはセキュア・バイ・デザインの原則を適用する方法をスマートフォンを狙うサイバー攻撃を例に解説した。
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は顧客ではなくメーカーやベンダーにセキュリティの責任を負わせる取り組みを推進する中で、全ての関係者からの領収書を求めている。
CISAはガイダンスを改訂し(注1)、テクノロジー企業に対して詳細なデータとログで自社製品にセキュリティを組み込んでいることを証明するよう促した。これを受けて、CISAのシニア・テクニカルアドバイザーであるボブ・ロード氏は、2023年11月16日(現地時間、以下同)のブログ投稿で(注2)、これらの責任がハードウェアとソフトウェアのさまざまな関係者にどのように影響を及ぼすかを説明した。
どのようなコードにも欠陥や安全ではない初期設定がある
「消費者向け製品や企業向け製品のセキュリティは、運命に左右されるようなものではない。セキュリティは、製品が設計される前からメーカーが意識的かつ継続的に行ってきた多くの選択の結果である」とロード氏は述べている。
ロード氏は「セキュア・バイ・デザイン」の原則を(注3)、公共のUSB充電ステーションを介して携帯電話にマルウェアをインストールする「ジュースジャッキング攻撃」の文脈で説明した。「ジュースジャッキング攻撃が実際に実行された証拠はなく、報告も未確認だが、どんなコードにもセキュリティ上の欠陥や安全でない初期設定があるため、攻撃自体は不可能ではない」とロード氏は述べた。
ロード氏によると、この仮説は幾つかの重要な問題を提示している。
- モバイルデバイスのメーカーは、これらの攻撃に関連する脆弱(ぜいじゃく)性にどのように対応しているか。問題の修正に関してコミットメントを実施したかどうか。それはいつ実施されたか
- 特定のハードウェアの部品は、他の部品よりも脆弱なのか
- この脅威は全てのモバイルデバイスのOSに影響を与えるのか
- これらの攻撃を防ぐために、ユーザーは設定や構成を変更できるのか。メーカーは、将来のバージョンでこれらの設定をデフォルトにすることができるのか
- ユーザーはどのような方法で自分の携帯電話に侵害の兆候がないかチェックできるのか。メーカーは、ユーザーがより適切な行動を取れるように、ダイアログや確認アラートを改善できるかどうか
「攻撃者が与える可能性がある被害ではなく、顧客の安全を守るためにメーカーが何をしているかに焦点を当てるべきだ。私たちは無力さを示し続けるのではなく、能力向上の観点から議論を展開すべきだ。要するに、メーカーは、安全性に関する責任を顧客に負わせず、設計の段階から安全な製品を開発しなければならない」とロード氏は述べた。
(注1)CISA launches new phase of Secure by Design to push global industry on software security(Cybersecurity Dive)
(注2)Applying “Secure By Design” Thinking to Events in the News(CISA)
(注3)Explore the core tactics of secure by design and default(Cybersecurity Dive)
関連記事
- E2EEとは何か? 今すぐ使える暗号化技術のメリットと設定方法を解説
端末のデータ保護を担う暗号化技術として筆者が最近注目しているのが「E2EE」(End to End Encryption)です。意外に普及していないこの技術のメリットや、LINEやiCloudでこれを設定する方法を紹介します。 - サイバー攻撃者はなぜギャンブル業界を狙うのか? お金だけじゃないその理由
サイバー攻撃者は近年、ギャンブル業界を標的にしたランサムウェア攻撃を仕掛ける傾向にある。一体なぜこの業界が狙われているのか。理由は金銭だけではないようだ。 - Microsoftが批判を受けてサイバー戦略を全面的に見直し 3つの大きな変更とは?
Microsoftはセキュリティ・バイ・デフォルトを採用するためにサイバー戦略を大幅に刷新した。この計画は2023年のはじめに、同社がセキュリティ機能に関する追加の課金を顧客に対して行い、大きな反発を受けた後に発表された。 - 50カ国が賛同した“身代金支払いの拒否”の共同声明 だが専門家は影響を疑問視
CRIのメンバーである50カ国は「各国政府の権限の下にある機関は、ランサムウェアに関連する身代金を支払うべきではない」という共同声明を発表した。この誓約は、禁止に向けた第一歩になる可能性がある。
© Industry Dive. All rights reserved.