Last Updated on 2024-05-11 06:34 by 荒木 啓介
CISA(サイバーセキュリティ・インフラセキュリティ庁)の「Secure by Design」誓約は、任意であり、法的拘束力はなく、基本的な内容である。この誓約には、マイクロソフト、アマゾンウェブサービス(AWS)、IBM、フォーティネットなどの大手企業が署名し、アメリカの主要なサイバー機関によって定義された7つの目標に向けた取り組みを約束した。誓約は、マルチファクタ認証(MFA)、デフォルトパスワードの廃止、脆弱性クラスの削減、セキュリティパッチの提供、脆弱性開示ポリシー、CVE、侵入の証拠など、7つの主要なカテゴリに分けられた改善領域を含む。
署名者は、この誓約が業界全体で良好なセキュリティ慣行と投資を促進するための一歩となる可能性があると述べている。例えば、一部の企業が製品内のセキュリティ機能を追加料金の対象としているが、これらの機能は追加のコストなしで提供可能であると指摘されている。誓約は、新たな規制を導入することなく、公私パートナーシップを推進する新しいアプローチと見なされている。
この誓約の影響は主に経済的なものであり、技術購入者に基本的なセキュリティ原則を考慮させることを目指している。また、CISAは脆弱性だけでなく、デフォルトパスワードや平文通信など、より広範なリスクの観点からセキュリティ問題を再考することの重要性を強調している。
【ニュース解説】
CISA(サイバーセキュリティ・インフラセキュリティ庁)が提唱する「Secure by Design」誓約は、サイバーセキュリティの向上を目指す任意の取り組みであり、法的な拘束力は持ちません。この誓約には、マイクロソフトやアマゾンウェブサービス(AWS)、IBM、フォーティネットなどの大手企業が署名し、7つの主要なセキュリティ向上目標に取り組むことを約束しています。これらの目標には、マルチファクタ認証(MFA)、デフォルトパスワードの廃止、脆弱性クラスの削減、セキュリティパッチの提供、脆弱性開示ポリシー、CVE、侵入の証拠などが含まれます。
この誓約は、業界全体で良好なセキュリティ慣行と投資を促進するための一歩として位置づけられています。特に、セキュリティ機能を追加料金の対象とする企業の慣行に対して、これらの機能は追加コストなしで提供可能であるという視点から、新たな規制を導入することなく公私パートナーシップを推進する新しいアプローチとして期待されています。
この誓約の影響は、主に経済的なものであり、技術購入者が基本的なセキュリティ原則を考慮するよう促すことを目指しています。また、CISAは、脆弱性だけでなく、デフォルトパスワードや平文通信など、より広範なリスクの観点からセキュリティ問題を再考することの重要性を強調しています。
この誓約が持つポジティブな側面としては、業界全体でセキュリティ意識の向上と基準の統一を促すことが挙げられます。しかし、任意であり法的拘束力がないため、実際のセキュリティ改善にどの程度寄与するかは、署名した企業の真摯な取り組みに依存します。また、このような自主的な取り組みが広がることで、将来的にはより強固なセキュリティ基準が業界標準として確立される可能性もあります。
一方で、この誓約が「歯がない」と批判される理由は、その任意性と基本的な内容にあります。より具体的で厳格な規制や義務付けがなければ、セキュリティの向上が十分に促進されない可能性もあります。また、セキュリティ機能を追加料金の対象とする現行のビジネスモデルに対して、どの程度の影響を与えることができるかも不透明です。
長期的な視点では、この誓約がセキュリティ意識の向上と業界全体のセキュリティ基準の引き上げに貢献することが期待されます。しかし、その効果を最大化するためには、より多くの企業がこの誓約に参加し、具体的な行動を起こす必要があります。また、政府や業界団体がこのような取り組みを支援し、必要に応じて規制を導入することで、セキュリティの向上をさらに促進することができるでしょう。
