#BHUSA: CISA Encourages Organizations to Adopt a ‘Secure by Demand’ Strategy
2024/08/09 InfoSecurity — 米国 CISA の主要イニシアチブのひとつに、2023年に開始された “Secure by Design” がある。その一方で同庁は、ソフトウェア・ユーザーに対して、Secure by Demand のアプローチを取るよう働きかけ始めた。これは、CISA の局長である Jen Easterly が、Black Hat USA の主要ステージで語ったメッセージである。
彼女は、「組織の内部に、供給側と需要側の双方を持つ必要がある。現実面で考えると、ソフトウェアを調達して展開する組織は、つまり、事実上すべての組織は、Secure by Demand を推進する上で主導的な役割を果たせる。企業におけるリーダーたちは、購買力を活用し、調達コストで判断すべきである」と述べている。
最近になって CISA は、“Secure by Demand Guide” を発表した。これは、ソフトウェアを購入する組織が、ソフトウェア・メーカーのサイバー・セキュリティに対するアプローチを適切に理解し、また、それらのメーカーが中核的な検討事項として、Secure by Design を捉えていることを確認するための、質問とリソースをまとめたものである。
このガイダンスでは、企業における調達ライフサイクルの各段階で、製品セキュリティを統合する方法を紹介している。Jen Easterly は、「我々は、Secure by Design 変革を確実に進めるために、ベンダーにもっと要求すべきだ」と語っている。
そして 2024年5月には、Secure by Design のコミットメントが発表され、この原則の範囲内で前進することを誓約するよう、ソフトウェア・メーカーに奨励し始めている。
Jen Easterly は、「この誓約は拡大しつつあり、現時点で 200社近くが署名している。ユーザー企業のリーダーたちは、この誓約書にソフトウェア・サプライヤーが署名しているかどうかを確認するべきだ」と述べている。
彼女は、「多要素認証 (MFA) の利用が増え、デフォルト・パスワードの利用が減り、誓約している人たちの間では、この脆弱性のクラス全体が完全に排除されている。つまり、Secure by Design の取り組みは勢いを増している」とコメントしている。
CISA は、この誓約に取り組むユーザー企業と協調することで、全体的な進捗状況を追跡し、また、透明性のある報告を行うことで、技術エコシステムにおけるリスク低減を推進する方策を実証している。
CISA の Secure-by-XX シリーズが、だんだんと拡張されています。今回の Secure by Demand は、ユーザー企業におけるソフトウェア調達の際に、ベンダー・サイドに要望というかたちでプレッシャーをかけるという文化を広めようというものです。それほどの負荷にはならず、それなりの効果が得られるという、とても賢い戦略だと思います。よろしければ、以下のリストも、ご参照ください。
2024/07/29:DevSecOps Blueprint:Security-by-Design – GitGuardian
2024/07/11:OS コマンド・インジェクションの排除 – Security by Design
2023/11/30:Secure-by-Design 第一弾:安全な Web 管理インターフェイス
2023/04/14:Security-by-Design と Security-by-Default の原則 – CISA
IoT OT Security News 
You must be logged in to post a comment.