Secure by Design is just the start, CISA official says
2025/06/13 nextgov — CISA の関係者によると、Secure by Design の導入は、脅威に対抗する強靭なデジタル環境を構築するための、第一歩に過ぎないという。ワシントンD.C.で開催されたサイバー・セキュリティ会議 Critical Effect の講演で、CISA の Secure by Design Initiative PM である Kirk Lawrence は、「このイニシアチブの原則の導入は、家のセキュリティ対策として、玄関のドアに鍵をかけるようなもので、最初のステップに過ぎない」と述べている。
彼は、「それは、脅威アクターに侵入されない、あるいは、持ち物を盗まれない、という意味ではない。その一方で侵入者は、異なるスキルセットを身につけるために、もう少し努力することになる。Secure by Design リスクの終わりではなく、レジリエンス (回復力) の始まりである」と付け加えている。
「Secure by Design アーキテクチャにおいては、脅威の検知に関連する国家レベルでの連携が弱点であるが、サイバー・セーフなエコシステムを構築するための、適切な第一歩であることに変わりはない」と述べている。
Secure by Design のビジネス・メリットを明確に示すための、CISA KEV による継続的な取り組みについても、彼は説明している。この取り組みのコアにある使命は、技術プロジェクトのオーナーが組織の経営幹部に対して、その価値を伝え、支持を得るために、Secure by Design に関する論点を作成するところにある。
Kirk Lawrence は、「私たちが、当初から主張してきた重要な原則の一つは、経営幹部の賛同がなければ、何も実現しないということだ。それは、効果的な Secure by Design を実現するための、最初のステップである」と述べている。
成果物のタイムラインについては、Secure by Design のビジネスケースが、今後の6ヶ月以内に準備できると、見積もっているようだ。
Kirk Lawrence の発言は、Secure by Design イニシアチブの元リーダーである、Bob Lord と Lauren Zabierek の退任を受けてのものだ。
トランプ大統領は、バイデン政権下で発令された、2つの大統領令で概説されたサイバー・セキュリティ政策を変更する、新たな大統領令を発令している。
改訂されたサイバー関連規定において、注目を集めるのは、NIST (National Institute of Standards and Technology) に関連するトピックだ。
そこでは、NIST の所長が、Secure Software Development Framework に基づくセキュア・ソフトウェア開発ガイダンスを策定するとしている。そのためコンソーシアムを、National Cybersecurity Center of Excellence (NCCE) 内に設立する期限は、2025年8月1日までと定めている。
2022年に NIST が公開したフレームワークは、ユーザー組織に対して、Secure by Design 原則の採用を強く求めるものだ。
このドキュメントには、「ソフトウェア設計段階において Secure by Design を採用し、セキュリティ要件とリスクへの対応を推進することが、ソフトウェア・セキュリティの向上の鍵であり、開発効率の向上にも資するものとなる」と記されている。
Secure by Design に関する Kirk Lawrence の発言の中で、”レジリエンスの始まり” という視点はイイですね。セキュリティは “完璧な防御” ではなく、”継続的な対応力がカギ” という姿勢には現実味があります。Secure by Design が普及すれば、開発とセキュリティの距離も縮まると思いますが、そのためにも CISA と NIST の協調が必要ですね。よろしければ、Security by Design ページを、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.