NRIセキュアテクノロジーズはセキュリティ製品を提供するセキュリティ専門企業として、米サイバーセキュリティ・社会基盤安全保障庁(CISA)のSecure by Design宣誓に署名しました [i] 。
Secure by Design宣誓とはどのような取り組みなのか、米国を中心にこの活動が促進されている背景などを解説します。また、この活動に賛同したNRIセキュアテクノロジーズの今後の取り組みを紹介します。
CISA Secure by Design宣誓とは
Secure by Design 宣誓は、ソフトウェアベンダが、優先して改善すべき「7つの目標」に対して自社製品のセキュリティ改善の取り組みを行うことを自主的に誓約する活動です。2025年1月時点で米国にソフトウェアを提供する267社の企業がこの取り組みに同意しています。
宣誓から1年以内に、どのように改善を達成したかをブログなどで一般に公開することやCISAに進捗状況や改善への課題を共有することが推奨されています。
Secure by Design 宣誓は、セキュリティ対策が過度に製品の利用者の責任とされてしまう現状をあらため、提供時点から安全なソフトウェアを作り、利用者がそれを選択することを可能とすることを目指しています。このような位置づけであることから、宣誓への同意は、利用者に対してソフトウェア提供者としての姿勢を示すものとなります。ソフトウェアやサービスの利用者は、ソフトウェア調達やサービス利用時に、これらの対応の有無を重視するようになることが予想されます。
Secure by Design宣誓における7つの目標
Secure by Design宣誓では7つの目標が定められています。「セキュアバイデザイン」がすべてこれら7項目に集約される、というわけではありませんが、Secure by Design宣誓では明確に項目が設定されていることで、ソフトウェアベンダが優先して取り組むべき活動の方向性が明確になり、具体的なアクションの共有が行いやすくなるという効果があります。
また、それぞれの目標に対して、厳密な要求をあえて定めておらず、成熟度の異なる企業であってもこの取り組みに賛同しやすい形としています。
|
7つの目標 |
概要 |
1 |
多要素認証(MFA)の導入 |
誓約書に署名してから1年以内に、メーカーのプロダクト全体で多要素認証の利用を増やすために行った活動を公表すること。 |
2 |
デフォルトパスワードの廃止 |
誓約書に署名してから1年以内に、メーカーのプロダクト全体でデフォルトの固定パスワードの削減に向けた測定可能な進捗を公表すること。 |
3 |
脆弱性の種別全体の削減 |
誓約書に署名してから1年以内に、メーカーのプロダクト全体における1つ以上の脆弱性クラスを測定可能な形で大幅に削減するために実施した活動を公表すること。 |
4 |
セキュリティパッチの適用 |
誓約書に署名してから 1 年以内に、顧客によるセキュリティパッチのインストールを増やすための取り組みを測定可能な形で実施すること。 |
5 |
脆弱性公開ポリシーの公開 |
誓約に署名してから1年以内に脆弱性公開ポリシー(Vulnerability disclosure policy)を公開すること。 |
6 |
CVEの公開 |
誓約に署名してから1年以内に、脆弱性報告の透明性を示すこと。 |
7 |
侵害の証跡の提供 |
誓約に署名してから1年以内に、メーカーの製品に影響を与えるサイバーセキュリティ侵入の証拠を、顧客がより効果的に収集できるようにすること。 |
NRIセキュアテクノロジーズによる翻訳
CISA Secure by Design推進の背景
CISAでは、2023年4月よりSecure by Designイニシアチブを宣言し、米国におけるSecure by Designを推進する活動を行っています。なぜ、今CISAがこのような取り組みを推進しているのでしょうか。
この背景としては、攻撃活動の高度化やサプライチェーンセキュリティリスクの顕在化により、米国内でのセキュリティインシデントのリスクが高まっている状況にあることが挙げられます。企業にこの改善を求める中で、サービスやソフトウェアの利用者にその責任が集中していることから、インシデントの起因となっているソフトウェアベンダについても主体的に改善を行う必要性が指摘されています。CISAのWebページには「すべてのテクノロジー・プロバイダーは、自社製品が設計上安全であることを保証するために、経営幹部レベルでオーナーシップを持たなければならない」[ii]と強調されており、CISAが求めるスタンスが示されています。
CISAはこのイニシアチブの公開後、次のソフトウェアセキュリティ原則[iii]を公開しています。
- 顧客のセキュリティ成果に対するオーナーシップをもつ。
- 徹底した透明性と説明責任を受け入れる。
- これらの目標を達成するために組織構造とリーダーシップを構築する。
この原則からもソフトウェアベンダの主体的な取り組みを求めていること、7つの目標を定義するうえでの考え方の背景にあることを読み取ることができます。
NRIセキュアテクノロジーズの今後の取り組み
NRIセキュアテクノロジーズはセキュリティ専門企業として、Secure by Designの取り組みに賛同し、自社のみならずすべてのソフトウェアプロダクトを開発する企業にこの取り組みを広げていくべきであると考えています。
そこで、まず自社の取り組みとして、前述のSecure by Designの7つの目標に対して、自社製品のセキュリティ改善活動を推進します。今後、セキュリティ改善活動の実際の取り組みについて各製品チームの具体的なアクションも交えつつ、本ブログにて情報発信を行っていきます。
さらに、弊社のコンサルティング支援の経験を基に、Secure by Designの促進のための実装上の課題や発展的な施策などの有用な情報を発信していきたいと考えています。
これらの情報発信によって、今後各社でSecure by Designを取り組む際の参考として活用いただくことを目指します。
まとめ
NRIセキュアテクノロジーズは、この考え方に賛同し、自社プロダクトでの取り組みを行っています。同時に、その内容を情報発信していくことで、後に続く他社の参考とし、業界全体としての Secure by Design 推進を図っていきます。
これからも NRIセキュアテクノロジーズは、セキュリティ分野でのリーダーシップを発揮し、安全なソフトウェアの開発と普及に貢献していきます。皆様も、ぜひこの取り組みにご注目ください。
[i] NRIセキュア、米サイバーセキュリティ・社会基盤安全保障庁(CISA)のSecure by Design宣誓に署名https://www.nri-secure.co.jp/news/2024/1220
[ii] ”Every technology provider must take ownership at the executive level to ensure their products are secure by design.” https://www.cisa.gov/securebydesign
[iii] Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Secure by Design Software https://www.cisa.gov/sites/default/files/2023-10/Shifting-the-Balance-of-Cybersecurity-Risk-Principles-and-Approaches-for-Secure-by-Design-Software.pdf