CISA Debuts ‘Secure by Design’ Alert Series
2023/11/30 SecurityWeek — 11月21日に米国の CISA (Cybersecurity and Infrastructure Security Agency) は、セキュリティが未実装のソフトウェア開発ライフサイクルがもたらす被害を強調するための、新たなタイプの警告を導入した。この Secure by Design (SbD) アラートは、脅威に対する防御や対応について詳述するものではなく、ベンダーの意思決定を示すものであり、それにより世界的な規模で被害を減らすことを目的とする、情報を提供するものである。
CISA により、このアラートの第1回目 (PDF) は、Web 管理インターフェイスを標的とする悪質な行為に焦点を当て、セキュリティのベスト・プラクティスの実施を促すものである。具体的に言うと、特定のクラスの脆弱性を排除することで、これらの脅威から顧客を守る方式を明らかにしている。
CISA は、「このガイダンスは、Secure by Design の原則に基づき、製品を設計/開発することで、Web 管理インターフェイスの脆弱性の悪用を未然に防ぐことを、ソフトウェア・メーカーに促すために作成された」と指摘している。
CISA によると、それぞれのベンダーが2つの原則を実施することで、Web 管理インターフェイスにおける顧客の保護を向上させることが可能だという。
第1の原則は、アプリケーションのハードニング/機能/デフォルト設定を対象とするものだ。CISA は、これらの領域を設計するソフトウェア・メーカーは、自社製品のデフォルト設定を検討すべきだと述べている。
たとえば、Web インターフェイスのデフォルトでの無効化/インターネットに露出する状態での製品の操作の防止。デフォルト設定の変更に伴うリスクの警告などである。
CISA は、「ソフトウェア・メーカーは、顧客ごとの環境に対して製品が導入されている状況を理解し、また、安全が確保されない方法での製品の導入を理解するために、フィールド・テストを実施すべきである。このアクションの実践により、開発者の思い込みと顧客の実態との間のギャップが埋まっていく」と指摘している。
第2の原則は、ベンダーが脆弱性を開示する際の推奨事項であり、全面的な透明性の確保/セキュリティ欠陥の根本原因の追跡/CVE を用いた詳細な提供が必要だと指摘している。それにより、顧客によりリスクの理解/評価が促進され、そこで修正された過ちから、業界全体での学習も可能になる。
さらに CISA が推奨するのは、自社製品で繰り返される欠陥のクラスを、それぞれのベンダーが特定/排除することである。
Web 管理インターフェイスを標的とする悪意のサイバー活動から顧客を守るために、ソフトウェア・メーカーに推奨されるのは、Shifting the Balance of Cybersecurity Risk で示される原則を採用である。単に戦術的な管理策を導入するだけではなく、顧客の安全維持の役割を再考するという意志を示す、それぞれの Secure-by-Design ロードマップを公表すべきだと、CISA は結論付けている。
この Secure by Design と言う考え方ですが、それなりに注目に値するものだと思っています。詳しくは、2023/04/14 の「Security-by-Design と Security-by-Default の原則:政府の調達力を用いて普及させる – CISA」を、ご参照ください。そのときには、「Security-by-Design 原則のトップは、メモリ・セキュアなプログラミング言語の使用」と説明されていましたが、今回の第一弾は、もっと低いハードルが設定されていて、ちょっとホッとしました。これば、良いことだと思います。
IoT OT Security News 
You must be logged in to post a comment.