米業界のセキュリティ強化提言、政府規制も容認

[ITmedia]

　米MicrosoftやComputer Associates International（CA）など業界大手が参加する組織National Cyber Security Partnership（NCSP）の作業部会は4月1日、ソフトのセキュリティ強化に向けて初の報告書を発表した。

　報告書では米国土安全保障省に対し、「ソフト開発のライフサイクルを通じてセキュリティを向上させるために必要な行動を米政府が取るべきかどうかを検討すべき」と提言。これまで政府による規制には強い反対を唱えてきた業界が、一転して国家レベルの規制の必要性に触れている点が注目される。

　「市場圧力とビジネス上の必要性から、ソフト開発のライフサイクルを通じてセキュリティは強化されている。しかし国家的な安全保障や重要なインフラ保護のためにはさらに高レベルのセキュリティが必要かもしれない。セキュリティに関する市場の革新への干渉をできるだけ最小限に抑えた上で、適切な政府の行動によってこのようなギャップを埋める必要がある」。報告書はこう指摘している。

　NCSPはハイテク業界団体と米政府機関などがサイバーセキュリティ強化に向けて設立した組織（3月18日の記事参照）。今回の報告書を作成した作業部会「Improving Security Across the Software Development Lifecycle」はMicrosoftのセキュリティストラテジスト、スコット・チャーニー氏が共同議長を務めている。

　提言はこのほか、ソフト開発者の教育向上、セキュリティをソフト設計プロセスの中心に据えるための最良慣行策定、「パッチ管理原則のガイドライン」採用、ソフトのセキュリティ強化に向けて議会・開発者・企業などが効果的な戦略策定のために利用できる「インセンティブフレームワーク」採用――などが骨子となっている。