出典: VS148 via Shutterstock
ソフトウェアセキュリティは、ついに必要な注目を集め始めているかもしれません。多くの国が必要なガイドラインを導入する中、ソフトウェアサプライチェーンがより多くの脅威に直面しているため、任意の取り組みが十分かどうかを判断するのはまだ早いです。
英国の国家サイバーセキュリティセンター(NCSC)と科学・イノベーション・技術省は、5月7日にソフトウェア開発におけるセキュリティの基準を確立するために、任意のソフトウェアセキュリティ実践コードを発表しました。ソフトウェアセキュリティは、開発ライフサイクルの早い段階でセキュリティの決定を含め、効率的なパッチプロトコルを実装するために、組織が取り組む継続的な課題です。
この実践コードは、4つのテーマに分かれた14の原則を特徴としています:安全な設計と開発、ビルド環境のセキュリティ、安全な展開と保守、および顧客とのコミュニケーションです。たとえば、安全な設計と開発は、ソフトウェアベンダーが開発ライフサイクル全体を通じて、サードパーティコンポーネントを含むセキュリティを確保する責任を負うことを意味します。コミュニケーションに関しては、開発者とベンダーは、レガシーソフトウェアや顧客に影響を与える可能性のある重要なインシデントについての透明性を高めることが求められています。
英国は、ソフトウェアベンダー組織の上級リーダーに責任を持たせ、セキュリティ対策を優先するよう求めました。その責任は、組織全体でガイドラインが実施されることを保証することにまで及び、ソフトウェアセキュリティを文化として促進するために不可欠です。従業員は、正式な資格、職場でのトレーニング、安全なコーディング標準への露出を持つべきだとNCSCは促しています。技術市場は「デフォルトで安全なソフトウェアを開発するよう組織にインセンティブを与えていません…理解できることですが、組織は製品のセキュリティと回復力よりも成長と利益を優先するでしょう」とNCSCによれば。
関連記事:設計によるセキュリティの進展に対する専門家の楽観的見解
コードは進展を示す
この取り組みは、過去10年間にわたり国全体のサイバーセキュリティを向上させるために政府が行ってきた大規模なプロセスの一部です。2018年には、英国政府は消費者向けIoT(モノのインターネット)セキュリティの実践コードを発表し、家庭用デバイスの開発、製造、販売に関するガイダンスを提供しました。4年後、英国は製品セキュリティおよび通信インフラストラクチャ法を制定し、IoTデバイスの製造者、輸入者、販売者に基準となるセキュリティ要件を義務付けました。
この種の文書や取り組みが、製造者や直接関与する他の人々を対象に頻繁に流通するほど良いと、I Am the CavalryのサイバーセーフティアドボケートであるBeau Woodsは述べています。「これらのことを『はい、一般的には知られているが、誰もが実施しているわけではない』という状態から、『これは当然の慣行です。もちろんこれを行います。なぜ行わないのですか?これは誰もが行うことです』という状態に移行させることが重要です」とWoodsは言います。「これは、ある段階の一般的な受け入れから別の段階への移行プロセスの一部です。」
任意で十分か?
ソフトウェアセキュリティの取り組みは重要です。攻撃者はゼロデイおよび既知の脆弱性を驚異的な速さで悪用し、組織やセキュリティチームがそれに追いつくのはほぼ不可能です。英国のソフトウェアセキュリティ実践コードは重要な進展を示していますが、完全に任意であり、規制の力はありません。それは、他の政府がすでに発表しているガイダンス、たとえばサイバーセキュリティおよびインフラストラクチャセキュリティ庁(CISA)の設計によるセキュリティ原則や、国立標準技術研究所(NIST)の安全なソフトウェア開発フレームワークに続くものですと、ESETのチーフセキュリティエヴァンジェリストであるTony Anscombeは述べています。
ESETは、CISAとNISTの両方の取り組みに署名しています。
「前述のすべてが任意であることに注目する価値があります」とAnscombeは言います。「任意で採用できる原則については、政府が業界に原則を採用させ、遵守または遵守に向けた進展を公に表明させるための推進が必要です。」
関連記事:OpenSSFがオープンソースプロジェクトのための最低限のセキュリティ基準を設定
Woodsは、英国のコードをCISAの設計によるセキュリティと並行した取り組みと見ています。いくつかの重複する領域があり、異なる国の市場で基準を持つことが役立つ場合もありますが、2つの取り組みは十分に異なっており、同じものとして分類すべきではないとWoodsは付け加えます。CISAの設計によるセキュリティは一部のサークルで否定的な意味合いを持つと指摘しています。
次に何が来るのか?
採用はコードの成功に依存します。核心となる原則は、開発ライフサイクル全体を追跡することで回避可能な問題を取り除くように設計されていますとAnscombeは言います。重要な側面には、遵守を保証するための自己評価メカニズムと、責任ある脆弱性報告を促進することが含まれます。
「私は、英国政府が将来的にこのプロセスに基づいた認証制度を採用するかもしれないと理解しています」とAnscombeは言います。「しかし、もしこの制度が正しい方法で促進され、業界が採用すれば、認証はそれほど重要ではなくなり、顧客は制度の原則が実施されているという契約上の保証を求めるようになり、企業が遵守するための収益要件となるでしょう。」