テック大手・セキュリティ大手68社が取り組み=安全なソフトウェアの構築へ
世界の最大手のソフトウェアベンダー、サイバーセキュリティベンダー約70社が、米 サイバーセキュリティ・インフラセキュリティ庁(CISA)の「Secure by Design」(セキュア・バイ・デザイン)の誓約書に署名した。セキュリティ機能をソフトウェアの開発時から組み込む取り組みは広く行われており、同庁がこうした誓約を呼びかけているのもその1つだ。Amazon Web Services(AWS)、Cisco、Google、Hewlett Packard Enterprise(HPE)、IBM、Microsoftなどの大手テック企業、Cloudflare、CrowdStrike、Fortinet、Palo Alto Networksなどの大手サイバーセキュリティ企業十数社が参加している。
RSAカンファレンス2024で行われた「Secure By Design」誓約の発表の場で、CISAの長官、Jen Easterly(ジェン・イースタリー)氏は、この取り組みはホワイトハウスの国家サイバーセキュリティ戦略に沿ったもので、サイバーセキュリティに関する負担を、個人や中小企業、地方自治体から、テック企業のような専門性のある組織に移すことを求めるものだと述べた。
「ここにいる誰もが、脅威に関して現状のような状況の中で生きています。非常に手強い問題ですが、この部屋にいる皆さまのエネルギーとコミットメントがあれば、私たちは今後1年間で、この分野に大きな影響を与えられると心から思っています」と氏は語った。「また、率直に申し上げて、私たちに他の選択肢はありません」
CISAの「Secure by Design」誓約の目標
参加ソフトウェアメーカーが誓約しているのは、今後1年間、次の7つの目標に向けて測定可能な進展を示せるように取り組むことだ。
1. 多要素認証(MFA)
自社製品における多要素認証(MFA)の採用を測定可能な形で増加させるための具体的な行動を、1年以内に示すことを約束する。
2. デフォルトのパスワード
自社製品全体のデフォルトパスワードの削減に向けて、測定可能な進捗状況を示す。
3. 脆弱性の削減
1つ以上の脆弱性クラスの蔓延を測定可能な程度に大幅に削減するための措置を講じる。
4. セキュリティパッチ
顧客によるセキュリティパッチのインストールを確実に増加させるための措置を示す。
5. 脆弱性開示ポリシー
参加ベンダーは、一般の人による製品の脆弱性テストを可能にし、責任ある情報開示を行うことを奨励する脆弱性開示ポリシー(VDP)を公表する。
6. 共通脆弱性識別子(CVE)
自社製品のすべてのCVEレコードに、正確な共通脆弱性タイプ一覧(CWE) および共通プラットフォーム一覧(CPE) フィールドを含めることで、脆弱性報告の透明性と適時性を向上させる。
7. 侵入の証拠
メーカーの製品に影響を及ぼすサイバーセキュリティ侵入の証拠を収集する顧客の能力の向上を、測定可能な形で実証する。
CISAの上級技術顧問、Jack Cable(ジャック・ケーブル)氏 は、誓約書に署名した大手ベンダー以外にも、ソフトウェア製品を開発しているすべての企業がこの誓約書に注目し、自社製品への適用を検討するよう推奨している。「なぜなら、ご存じのとおり、攻撃者は最も簡単な方法を使うからです。それはソフトウェアの脆弱性を悪用することです」と語った。
フォーティネットがソフトウェアセキュリティへの取り組みを詳述
CISAの「Secure by Design」誓約に署名した最初のサイバーセキュリティベンダーの1社として、フォーティネットは自社製品の開発と、主要な製造パートナーの選定および認定が、米国立標準技術研究所(NIST)の文書No. 800-53「組織 と情報システムのためのセキュリティおよびプライバシー管理」、No. 800-161「システム及び組織におけるサプライチェーンのサイバーセキュリティリスクマネジメントのプラクティス」など、さまざまな業界標準とフレームワークに準拠したものになっていると主張している。
また、セキュリティ製品のテストには、静的および動的なアプリケーションセキュリティテスト、ソフトウェア構成解析、脆弱性スキャン、ペネトレーションテスト、人によるコード監査などの手段や技術を使用している。
さらに、製品セキュリティインシデント対応チームが製品のセキュリティ標準を維持し、積極的かつ透明に脆弱性を開示する責任を担っているとした。
68 tech and security titans commit to building secure software
SDxCentralの編集者。
サイバーセキュリティ、量子コンピューティング、ネットワーキング、およびクラウドネイティブ技術を担当している。
バイリンガルのコミュニケーション専門家兼ジャーナリストで、光情報科学技術の工学学士号と応用コミュニケーションの理学修士号を取得している。
10年近くにわたり、紙媒体やオンライン媒体での取材、調査、編成、編集に携わる。
連絡先:nliu@sdxcentral.com
SDxCentralの編集者。
サイバーセキュリティ、量子コンピューティング、ネットワーキング、およびクラウドネイティブ技術を担当している。
バイリンガルのコミュニケーション専門家兼ジャーナリストで、光情報科学技術の工学学士号と応用コミュニケーションの理学修士号を取得している。
10年近くにわたり、紙媒体やオンライン媒体での取材、調査、編成、編集に携わる。
連絡先:nliu@sdxcentral.com
JOIN NEWSME ニュースレター購読
KCMEの革新的な技術情報を随時発信
5G・IoT・クラウド・セキュリティ・AIなどの注目領域のコンテンツをお届けします。
KCME注目の技術領域に関するテックブログを配信しています。
KCME注目の技術領域に関するテックブログを配信しています。
RELATED ARTICLE 関連記事
-
ネットワーク Sean Michael Kerner2024.08.20
DNSパフォーマンスの調査が、プロバイダー間の大きな格差を明らかに
IBMとCatchpoint Systemsが実施し…
-
セキュリティ Nancy Liu2024.08.05
フォーティネットのLacework買収がクラウドセキュリティを強化、CiscoやPalo Alto Networksと競合
フォーティネットは最近、クラウドセキュリティのスター…
-
5G Dan Meyer2024.07.30
企業のIT部門とOT部門は、プライベート5Gについて語る時期がきたのではないか?
プライベート5G市場は、採用というよりもチャンスに後…
-
ネットワーク SDxCentral Studios Sponsored by VMware2024.07.26
RANや5Gの運用を妨げている、5つの要因
通信業界では、RANからエッジ、コアに至るまで、エン…
HOT TAG 注目タグ
RANKING 閲覧ランキング
-
セキュリティ Nancy Liu
デル、データ侵害を確認=ハッカーが4900万件の顧客データ販売を主張
-
IT Dan Meyer
BroadcomによるVMware製品の価格/ライセンスの変更がどうなったか
-
IT Dan Meyer
Dell、HPE、LenovoはBroadcomがVMwareの顧客の懸念を和らげるのに役立つか?
-
IT Dan Meyer
BroadcomがVMwareパートナープログラムの詳細を発表
-
ネットワーク Sean Michael Kerner
2024年における10のネットワーキング技術予測
-
セキュリティ Tobias Mann
米CitrixはMcAfee社、FireEye社と同じ運命を辿るのか=買収合併の後に
-
セキュリティ Nancy Liu
SASE市場が急成長=第1四半期、首位はZscaler
-
スイッチング技術 Tobias Mann
コパッケージドオプティクスの実用化は何年も先=専門家談
-
IT Dan Meyer
米キーサイトがVIAVIのスパイレント買収に「待った」=15億ドルを提示
-
ネットワーク Sean Michael Kerner
2023年 ITネットワークのトレンドTOP10 現時点