ーTech for Human Evolutionー

最新ニュース一覧

人気のカテゴリ

AI(人工知能)
量子コンピューター
スペーステクノロジー
サイバーセキュリティ
VR/AR
テクノロジーと社会
ロボティクス
ヘルスケア
ブロックチェーン
半導体
もっと見る

人気のタグ

著作権 今日は何の日 インタビュー Google Apple AWS OpenAI Anthropic Meta Microsoft XREAL Android_XR Nvidia

ホーム » サイバーセキュリティ » サイバーセキュリティニュース »

セキュアデザイン推進でCISAが躍進、製造者責任へのシフトに注目

- innovaTopia - (イノベトピア)

Last Updated on 2024-06-04 07:59 by 荒木 啓介

サイバーセキュリティとインフラセキュリティ庁(CISA)の「Secure by Design」イニシアチブが開始されてから1年が経過し、その成果が評価された。このイニシアチブは、セキュリティの責任をエンドユーザーから技術製造業者へと移すことを目標としている。CISAは、セキュアデザインの重要性に関する認識を高め、技術提供者とソフトウェア開発者向けにセキュアデザインの実装に関する原則とガイダンスを提供し、定期的なブログ投稿とアラートを通じて情報を更新してきた。また、16か国とのセキュアデザイン原則に関するグローバルイニシアチブを通じて、米国外でもメディアの注目を集めた。

国家サイバーセキュリティ戦略から派生した主要なニュースは、ソフトウェア提供者に対するセキュリティの責任を導入するという発表であった。これには立法と政治的支援が必要であり、CISAだけでは実現できない。連邦政府にソフトウェアを供給する企業は、セキュアな開発慣行を使用していることを証明することが求められるようになった。これは、公共調達プロセスにセキュアデザインを組み込む大きな前進である。

しかし、CISAのセキュアデザインガイダンスは、セキュアソフトウェア設計の基本要素である脅威モデリングの展開方法を十分に説明していなかった。これに対し、世界をリードする脅威モデラーと「The Threat Modeling Manifesto」の著者たちは、セキュリティによる設計の将来のガイダンスに脅威モデリングの採用を促す必要性を訴える共同書簡をCISAに送った。CISAはその後、脅威モデリングに関する情報を更新したが、脅威モデリングの効果的な実装方法についてさらに詳細な説明が必要である。

CISAは、セキュアデザインの取り組みを拡大するにあたり、「セキュア・バイ・デマンド」について顧客に考えさせること、ソフトウェアセキュリティに影響を与える経済的要因を理解すること、およびコンピュータサイエンスとコーディングプログラムにセキュリティを組み込むために教育コミュニティと協力することの3つの新しい焦点領域を設定した。これらはすべて重要な領域であり、特に開発者の経験とセキュリティに関する理解の欠如は大きな問題であるため、教育への焦点は特に重要である。

全体として、セキュアデザインの重要性を認識し、実装計画を進める上で、バイデン政権とCISAの取り組みは短期間でかなりの進歩を遂げた。ゲームを変えるであろう責任法の立法はまだ先になる可能性があるが、連邦調達規則にセキュリティバイデザインを組み込むという重要な中間ステップが取られた。セキュアデザインを実際に実装するためのツールを人々に提供すること、特に脅威モデリングの実装方法については、まだ多くの作業が必要であるが、これまでのところイニシアチブは成功している。

【ニュース解説】

サイバーセキュリティとインフラセキュリティ庁(CISA)が推進する「Secure by Design」イニシアチブは、セキュリティを製品設計の初期段階から考慮することを目指しています。この取り組みは、セキュリティの責任をエンドユーザーから技術製造業者へ移すことを目標としており、開始から1年が経過した現在、その成果が評価されています。

このイニシアチブの背景には、不安全なソフトウェアに対処するためのバイデン政権の国家サイバーセキュリティ戦略があります。CISAは、セキュアデザインの重要性に関する認識を高め、技術提供者とソフトウェア開発者に向けた実装ガイダンスを提供してきました。また、国際的な取り組みを通じて、セキュアデザイン原則に関するグローバルな認識を拡大しています。

重要な進展の一つとして、ソフトウェア提供者に対するセキュリティの責任を導入する動きがありますが、これは立法と政治的支援が必要であり、まだ実現には至っていません。一方で、連邦政府にソフトウェアを供給する企業には、セキュアな開発慣行を使用していることを証明することが求められるようになりました。これは、公共調達プロセスにセキュアデザインを組み込むという大きな前進です。

しかし、CISAのセキュアデザインガイダンスは、脅威モデリングの展開方法について十分な説明を提供していないという批判があります。脅威モデリングは、セキュアソフトウェア設計のための前提条件であり、その実装方法についての詳細なガイダンスが求められています。

今後、CISAは「セキュア・バイ・デマンド」について顧客に考えさせること、ソフトウェアセキュリティに影響を与える経済的要因を理解すること、および教育コミュニティと協力してコンピュータサイエンスとコーディングプログラムにセキュリティを組み込むことに焦点を当てる予定です。これらの取り組みは、開発者のセキュリティに関する理解と経験の向上に寄与することが期待されます。

全体として、このイニシアチブは短期間でかなりの進歩を遂げており、セキュアデザインの重要性を認識し、実装計画を進める上で重要な役割を果たしています。しかし、セキュアデザインを実際に実装するための具体的なツールや方法論、特に脅威モデリングの実装に関しては、さらなる改善が必要です。このイニシアチブが長期的にどのような影響を与えるかは、今後の取り組みとその成果によって左右されるでしょう。

from CISA's Secure by Design Initiative at 1: A Report Card.

投稿者アバター
admin
自己紹介の全文を表示
読み込み中…
読み込み中…