米国サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)は、組織がソフトウェア製造者のセキュリティ実務を評価する方法を強化するための新たなガイドを公開した。
この指針は、ソフトウェア調達プロセスにおいて、製造者の企業(エンタープライズ)セキュリティ対策のみに注目するのではなく、製品セキュリティを優先する重要性を強調している。同庁は、このアプローチがランサムウェアやその他のサイバー脅威に対抗するうえで不可欠であることを示した。
「本ガイドは、ソフトウェア購入時に組織が問うべき質問、調達ライフサイクルのさまざまな段階に製品セキュリティを組み込むための考慮事項、そしてセキュア・バイ・デザインの原則に沿って製品セキュリティ成熟度を評価するためのリソースを提供する」とCISAは記している。
この「セキュア・バイ・デザイン」の理念は、製造者がセキュリティを中核要素として優先することを求めるものであり、顧客のセキュリティ成果に対する責任を負うこと、透明性を維持すること、そしてこれらの目標を達成するためのリーダーシップを育むことなどを含む、CISAが確立した原則と整合している。
セキュア・バイ・デザインの適用例について詳しく読む:大学とその先でセキュア・バイ・デザインを実現する
現在、多くの組織は、社内インフラの保護など、企業セキュリティに関連するコンプライアンス基準に注力している。
「組織の調達担当者は、特定の技術を取得する際に求められる中核的なサイバーセキュリティ要件を一般的には理解していることが多い」とCISAは述べた。「しかし、特定のサプライヤーが、製品開発ライフサイクルの最も早い段階からセキュリティが中核的な考慮事項となるよう確保するための実務や方針を備えているかどうかを評価しないことが少なくない。」
本ガイドは、ソフトウェア製造者が自社製品をサイバー攻撃に強いものにするためにどのように確保しているかを評価する方向へ転換する必要性を強調している。また、調達ライフサイクルの各段階(購入前・購入時・購入後)に製品セキュリティを統合するための実行可能な手順を提示している。
例えば、調達前には、組織は製造者のセキュリティへの取り組み方について問い合わせるべきである。調達時には、セキュリティ要件を契約に盛り込むべきである。購入後には、製造者の製品セキュリティを継続的に評価することが推奨される。
さらに本ガイドは、デフォルトパスワードの排除、多要素認証(MFA)のサポート、システム全体に及ぶ脆弱性への対処の重要性も強調している。ソフトウェア製造者がセキュリティログの証拠を提示し、サードパーティ依存関係の詳細な記録を維持し、脆弱性を適時に報告していることを示すよう提案している。
より詳細な情報として、追加の指針を求める組織は、CISAのSecure by Design ページを参照できる。
翻訳元: https://www.infosecurity-magazine.com/news/cisa-guide-enhance-software/
