米国サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)の主要イニシアチブの一つが、2023年に開始されたSecure by Designです。現在、同庁はソフトウェアの顧客に対し、Secure by Demandのアプローチを取るよう強く求めています。
これは、Black Hat USAのメインステージ講演でCISA長官のジェン・イースタリー氏が伝えたメッセージでした。
「供給側と需要側の両方が必要です。実際のところ、ソフトウェアを調達して導入する組織――それはほぼすべての組織ですが――は、Secure by Demandを前進させるうえで主導的な役割を果たせます」とイースタリー氏は述べました。
「企業やリーダーは購買力を活用し、調達に使う資金で意思表示をすべきです」と同氏は語りました。
CISAは最近、Secure by Demand Guideを公開しました。これは、ソフトウェアを購入する組織が、ソフトウェアメーカーのサイバーセキュリティへの取り組みをよりよく理解し、メーカーがSecure by Designを中核的な考慮事項として位置づけることを確実にするために利用できる質問事項やリソースを示したものです。
このガイダンスでは、調達ライフサイクルのさまざまな段階に製品セキュリティを統合する方法が強調されています。
「私たちは、より多くを求める必要があります。テクノロジーベンダーに対して、より多くを要求しなければなりません。Secure by Designの革命を前進させるために」と同氏は述べました。
5月には、Secure by Designの誓約(プレッジ)が発表され、ソフトウェアメーカーに対し、Secure by Designの原則の幅広い領域で進展を遂げることへのコミットを促しました。
イースタリー氏は、企業のリーダーは自社のソフトウェアサプライヤーがその誓約に署名しているかを確認すべきだと述べました。
同氏は、このコミットメントが拡大しており、現在では約200の署名者が誓約を行っているとコメントしました。
また同氏は、Secure by Designの動きは勢いを増しているとし、コミットしている組織の間で、多要素認証(MFA)の利用が増え、デフォルトパスワードの使用が減少し、脆弱性のクラス全体を低減、あるいは完全に排除する取り組みが進んでいると述べました。
CISAは、誓約にコミットした組織と協力して進捗を追跡し、透明性をもって報告することで、同庁がテクノロジー・エコシステムにおけるリスクをどのように低減しているかを示そうとしています。
翻訳元: https://www.infosecurity-magazine.com/news/cisa-secure-by-demand-strategy/
