CISA、セキュア・バイ・デザイン実現に向けて意見を募集 期限迫る:Cybersecurity Dive
CISAは情報提供依頼書を発行し、コストや高等教育にセキュリティに関する事項を組み込む方法、繰り返し発生する脆弱性を減らす方法について、業界からの意見を求めている。
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は(注1)、開発手法の大幅な変更を通じてソフトウェアのセキュリティを向上させる国際的な取り組みに関する意見を求めている。
2023年12月20日(現地時間、以下同)に発表された情報提供依頼書は(注2)、ソフトウェアを開発するライフサイクルにセキュリティを組み込む最善の方法について意見を求めるもの。具体的には、繰り返し発生するソフトウェアの脆弱(ぜいじゃく)性にどのように取り組むか、高等教育にどのようにセキュリティを導入するか、運用技術におけるセキュリティをどのように強化するか、また、安全な実務がコストにどのような影響を与えるかについて聞いている。
CISAのディレクターであるジェン・イースタリー氏は「私たちの目標は、技術が設計段階から安全なものとなる未来を実現することであり、それには全てのメーカーによる行動と、全ての消費者による明確な要求が必要だ。そのため、私たちは入念に意見を求め、それらを取り入れなければならない」と話した。
セキュア・バイ・デザインが実現すると、ベンダーには何が求められるのか?
CISAは、バイデン政権の大規模な取り組みの一環として、セキュリティをソフトウェア開発の中核的な要素とするために、セキュア・バイ・デザインの原則を取り入れるよう業界に積極的に働きかけてきた(注3)。
悪意のあるハッカーや国家の後ろ盾を得た脅威グループは多くの場合、古いバージョンを使い続ける企業や緊急のセキュリティパッチを適用していない顧客の環境に残っている重大な脆弱性を悪用して攻撃を仕掛けてきた。
Boeingや(注4)、米国のメディア企業Comcastなどの大手企業は(注5)ネットワーク機器「NetScalerADC」「NetScaler Gateway」に存在したバッファオーバーフローに関する重大な脆弱性「CitrixBleed」を悪用され被害に遭った。(注6)。
セキュア・バイ・デザインの計画に詳しい情報筋によると、ソフトウェアメーカーはこの取り組みに対する支持を表明しているが、CISAは正式な意見をさらに必要としているという。
2023年12月の初め、IT-ISACはクラウドおよび重要なSaaSプロバイダーがセキュア・バイ・デフォルトの原則を受け入れるよう求めるホワイトペーパーを発表した。これは、CISAによるセキュア・バイ・デザインを強調する取り組みの一環である。
ソフトウェア企業Guidewire SoftwareのCISO(最高情報セキュリティ責任者)であり、IT-ISACによるレポートの共著者であるジェームズ・ドルフ氏は「セキュア・バイ・デフォルトは多くのソフトウェア開発者が歩んでいる道だ。私たちが発表したホワイトペーパーの目的は、エンジニアやユーザーエクスペリエンスの専門家、セキュリティチームが、顧客や他のユーザーにとってより良い結果を実現するために協力できるように、目標を明確に定義することだ」と語った。
提案された変更により(注7)、多要素認証のデフォルトでの導入、秘密情報の自動的なローテーション、昇格アクセス権に時間制限を設けることなどが、クラウド企業に求められる可能性がある。
情報提供依頼書の回答期限は2024年2月20日である。
(注1)CISA Issues Request For Information on Secure by Design Software Whitepaper(CISA)
(注2)Request for Information on “Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Secure by Design Software”(FEDERAL REGISTER)
(注3)CISA launches new phase of Secure by Design to push global industry on software security(Cybersecurity Dive)
(注4)CitrixBleed worries mount as nation state, criminal groups launch exploits(Cybersecurity Dive)
(注5)Comcast’s Xfinity discloses massive data breach linked to CitrixBleed vulnerability(Cybersecurity Dive)
(注6)CitrixBleed isn’t going away: Security experts struggle to control critical vulnerability(Cybersecurity Dive)
(注7)It’s Time to Elevate.(IT-ISAC)
関連記事
- 住友化学はいかにして工場とオフィスのサイバーレジリエンスを強化しているか?
セキュリティインシデントにつながる異変に気付き、報告できる人を育てるにはどうすればいいのか。工場とオフィスでサイバーレジリエンスの強化を実践している企業が内情を語った。 - ある朝、Azure使用料で数十万ドルの請求書が…… クラウドリソース不正利用の最新手口
ある日突然、Azureから数百万円単位の覚えのない請求書が届く……。攻撃者の目的は何か。クラウドコンピューティングを悪用する洗練された手口についてセキュリティリサーチャーが解説した。 - IPAが「情報セキュリティ10大脅威 2024」を公開 個人編・組織編の結果は?
IPAは2023年に社会的影響を与えたセキュリティの脅威を「情報セキュリティ10大脅威 2024」として公表した。 - 実践的サイバー演習をお手頃価格で提供 レジリエンス強化に役立つNICTの取り組み
ランサムウェアをはじめとする脅威が激化する今、セキュリティ担当者には侵入を前提にした対策が求められている。NICTはこの実現に向けて役立つ仕組みを複数提供している。特にサイバーレジリエンス強化に利用できるものを紹介しよう。
© Industry Dive. All rights reserved.