How to Incentivize Security by Design
2025/05/26 InfoSecurity — 各国の政府が、数千もの組織が利用するデジタル製品やサービスに対して、Secure by Design の原則を一貫して提唱するという状況にある。その原則とは、ソフトウェア・メーカーやシステム運用者の努力により、エンドユーザーのセキュリティ負担を大幅に軽減するためのものであり、既知の脆弱性の排除なども、その一例となる。このアプローチを推進してきたのは、米国 Cybersecurity and Infrastructure Security Agency (CISA) の Secure by Design イニシアチブや、英国政府が支援する Digital Security by Design (DSbD) プログラムなどである。
その一方で、数百万もの組織が利用する技術ソフトウェアや製品は、これまで以上に、攻撃に対して脆弱になっているように思える。
この現実は、直近の 18か月間に、ネットワーク・エッジ・デバイスが大規模に悪用され、膨大な数のエンド・ユーザーに影響が生じたことで実証されている。これらの攻撃には、既知の脆弱性が、そして、回避できるはずの脆弱性が、悪用されることがよくある。
先日に開催された CYBERUK カンファレンスにおいて、英国 National Cyber Security Centre (NCSC) の CTO である Ollie Whitehouse は、この問題は技術的な問題ではなく、むしろ市場インセンティブの問題だと述べていた。
Ollie Whitehouse は、「このエコシステムには、専門知識とスキルという要素があるが、いまの市場において、そこに投資を行い、安全な製品を開発する企業に対して、支援も報奨もない。したがって、セキュリティ・リスクは、技術を開発する人々ではなく、その顧客/社会/政府に対して、不釣り合いに振り分けられている」と付け加えている。
CYBERUK での専門家によりパネル・ディスカッションでは、技術ベンダーや事業者に対して、Security by Design (SbD) を奨励するために、技術市場に影響を与える5つの方法が示された。
回避が可能な脆弱性に対する罰則
Security by Design (SbD) を促進する一つの方法は、規制当局の介入である。このシナリオでは、”許容できない” 脆弱性を放置する技術プロバイダーに対して、政府による規制措置や罰則が発せられる可能性がある。
Sage Group の Global CISO である Ben Aung は、許容できない脆弱性とみなされ、罰則の対象となる可能性のある脆弱性の例として、SQLインジェクションを挙げている。発見と修正が可能な基本的な脆弱性を抱えた状態で、取引上の価値を持つソフトウェアをリリースすべきではないと述べている。
しかし、CYBERUK のパネル・メンバーの中には、テクノロジー製品に存在するセキュリティ欠陥に対して、政府が罰則を科すことに反対する人もいた。Mandiant の Managing Director である Stuart McKenzie は、”弁護士によるセキュリティ” につながるリスクがあると述べている。Stuart McKenzie は、「もし本当に、ひどい間違いを犯した場合、その製品の購入が止まり、市場から罰せられる状況になるだろう」と付け加えている。
一部の法域では、各種の製品における特定のセキュリティ欠陥に対して、規制当局に与えられた権限により、メーカーに罰則を科すことが可能な法律が施行されている。
そこに含まれるものとしては、英国の Product Security and Telecommunications Infrastructure (PSTI) Act がある。この法律の解釈次第で、推測しやすいデフォルト・パスワードを設定して製品を出荷する、スマート・デバイス・メーカーなどに対して罰金が科せられる可能性があるという。
政府のガイダンスと基準
規制措置やガイダンスを通じて、企業に推奨されるセキュリティ対策を提供する上で、政府は重要な役割を担っている。
カナダ Centre for Cybersecurity の Associate Head である Bridget Walsh は、サイバー攻撃の被害者が、自発的な協力や規制要件をベースに政府機関と情報を共有するため、政府は進化する攻撃経路について、独自の洞察力を持つことが多いと指摘している。彼は、「こうした情報を活用する政府は、根本原因を深く理解し、適切な助言とガイダンスを提供できる」と述べている。
政府のガイダンスは、たとえ強制力はなくても、セキュリティ・チームが取締役会の承認と投資を得るための、また、製品設計段階からセキュリティを組み込むための、重要な推進力となり得る。
Mandiant の Stuart McKenzie は、NCSC のような機関によるガイダンスは、取締役会によるサイバー・セキュリティへの投資決定に対して、好影響を与える可能性があると指摘している。このガイダンスは、さまざまな組織に期待される内容について、実行可能な手順を明確に示すはずだ。
その一例が、先日に英国政府が公表した Software Security Code of Practice である。この規範は、すべてのソフトウェアを開発/販売する組織が、自社製品のセキュリティを確保するために講じるべき必須の手順を定めている。
政府から提供されるガイダンスは、通信事業者やメーカーだけではなく、テクノロジー・エコシステムを構成する、すべての組織に適用されるべきだと、専門家たちは強調している。
これは、サプライチェーン全体における購買の決定に対して、セキュリティへの考慮を促すものである。Stuart McKenzie は、「購入する価値を持つソフトウェアであっても、基本的な脆弱性を放置し、発見/修正が可能な脆弱性を内包しているソフトウェアをリリースすべきではない」と指摘している。
透明性の確保と消費者へのプレッシャーの創出
プロバイダーにおけるサイバー・セキュリティ投資の透明性を高めることは、Security by Design (SbD) の実践に対するインセンティブを、政府が生み出すための、もう一つの方法である。
このような取り組みにより、ソフトウェアの購買を決定する消費者に対して、テクノロジー・サプライヤーのセキュリティを容易に評価できる手段が提供されるはずだ。
2024年に CISA は、Security by Design (SbD) の誓約を発表し、ソフトウェア・メーカーに対して、この原則の進展に取り組むことを奨励した。当時の CISA の Jen Easterly 局長は、企業のリーダーたちに対して、ソフトウェア・サプライヤーが誓約に署名しているかどうかを確認するよう促した。
その一方で英国政府は、2つの新たなサイバー・セキュリティ評価スキームを導入した。そのうちの1つでは、テクノロジー・ベンダー製品のサイバー・セキュリティを独立して監査するための、安全が保証されたネットワークが構築されている。
このような透明性は、エンドユーザーが安全な慣行に取り組んでいるサプライヤーと、それを達成していないサプライヤーを区別するのに役立つ。したがって、サイバー・セキュリティを、設計段階から推進するのに役立つ。
業界主導のサプライチェーン管理
こうした政府の取り組みに加えて、民間企業として求めるべきものは、サプライチェーン全体にわたる具体的なサイバー・セキュリティ管理となる。
CYBERUK において、Vodafone の CISO である Emma Smith は、米国の政府と協力する防衛産業基盤が、サプライヤーに対する強力な要件を確立するための、優れたロールモデルであると述べている。
Emma Smith は、「彼らは、防衛産業基盤に参加する全サプライヤーに求められるセキュリティ対策を、約 10件の主要分野に絞り込んでいる。防衛産業基盤のサプライヤーであれば、業界全体にとって重要となるセキュリティ対策を、正確に把握しているはずだ」と指摘する。
現時点において、他の多くの主要セクターで、同様の統合アプローチが欠如していることを、Emma Smith は認めている。彼女は、「その比較において、通信セクターでは、サプライヤーに期待するセキュリティ対策に関する、一致した見解が出ていない」と指摘しいている。
サイバー保険の役割
サイバー保険の加入拡大は、すべての組織において、セキュリティ対策の強化に向けたインセンティブを徐々に生み出すはずだ。そのコアとなるのは、MFA や脆弱性管理といって、保険会社が顧客に要求するセキュリティ対策の展開である。
Emma Smith は、「サイバー保険は、それを重要視する組織とって、つまり、昨今の大半の組織にとって、セキュリティのベースラインを定める基準になっている」と説明する。保険会社は、広範な分析を通じて、最も一般的なセキュリティ・リスクに関する知見を公開することで、さらなるセキュリティ対策を推進するだろう。
Bridget Walsh は、「投資すべき分野を明確化することは、保険会社が果たすべき非常に重要な役割である」と述べている。
結論
Security by Design (SbD) は、世界中の政府にとって重要な戦略となっている。その概念は明確だが、次の段階は実装となる。つまり、テクノロジー・プロバイダーが提供する製品やサービスにおいて、強力なサイバー・セキュリティ対策を優先するよう、インセンティブを与える必要がある。
現在のテクノロジー市場では、こうした取り組みが適切に評価されていない。したがって政府には、産業界と連携して方向性を決定づけるという、重要な役割が生じている。
その役割は、回避が可能な脆弱性を放置する企業に責任を負わせることから、プロバイダーのサイバー・セキュリティ対策を透明化するためのメカニズムを提供することまで、多岐にわたる。
いまこそ、理論から実践へと、Security by Design (SbD) を前進させる時である。
Secure by Design は、もはや “考え方” ではなく“行動” が求められる時代へと入ったのでしょうか。安全性を後追いで評価するのではなく、設計思想の段階から可視化し、比較可能にする仕組みが求められています。よろしければ、以下の関連記事も、Security by Design ページと併せて、ご参照ください。
2024/10/15:Secure-by-Design トレーニングは 4%未満
2024/09/18:CISA/FBI:XSS バグの排除へ向けたアドバイス
2024/08/09:CISA の Secure by Demand Guide:調達戦略
2024/07/11:CISA が要請:OS コマンド・インジェクションの排除
IoT OT Security News 
You must be logged in to post a comment.