テック大手・セキュリティ大手68社が取り組み=安全なソフトウェアの構築へ
![テック大手・セキュリティ大手68社が取り組み=安全なソフトウェアの構築へ](https://www.newsme.jp/wp-content/uploads/2024/02/software-update.jpg)
世界の最大手のソフトウェアベンダー、サイバーセキュリティベンダー約70社が、米 サイバーセキュリティ・インフラセキュリティ庁(CISA)の「Secure by Design」(セキュア・バイ・デザイン)の誓約書に署名した。セキュリティ機能をソフトウェアの開発時から組み込む取り組みは広く行われており、同庁がこうした誓約を呼びかけているのもその1つだ。Amazon Web Services(AWS)、Cisco、Google、Hewlett Packard Enterprise(HPE)、IBM、Microsoftなどの大手テック企業、Cloudflare、CrowdStrike、Fortinet、Palo Alto Networksなどの大手サイバーセキュリティ企業十数社が参加している。
RSAカンファレンス2024で行われた「Secure By Design」誓約の発表の場で、CISAの長官、Jen Easterly(ジェン・イースタリー)氏は、この取り組みはホワイトハウスの国家サイバーセキュリティ戦略に沿ったもので、サイバーセキュリティに関する負担を、個人や中小企業、地方自治体から、テック企業のような専門性のある組織に移すことを求めるものだと述べた。
「ここにいる誰もが、脅威に関して現状のような状況の中で生きています。非常に手強い問題ですが、この部屋にいる皆さまのエネルギーとコミットメントがあれば、私たちは今後1年間で、この分野に大きな影響を与えられると心から思っています」と氏は語った。「また、率直に申し上げて、私たちに他の選択肢はありません」
CISAの「Secure by Design」誓約の目標
参加ソフトウェアメーカーが誓約しているのは、今後1年間、次の7つの目標に向けて測定可能な進展を示せるように取り組むことだ。
1. 多要素認証(MFA)
自社製品における多要素認証(MFA)の採用を測定可能な形で増加させるための具体的な行動を、1年以内に示すことを約束する。
2. デフォルトのパスワード
自社製品全体のデフォルトパスワードの削減に向けて、測定可能な進捗状況を示す。
3. 脆弱性の削減
1つ以上の脆弱性クラスの蔓延を測定可能な程度に大幅に削減するための措置を講じる。
4. セキュリティパッチ
顧客によるセキュリティパッチのインストールを確実に増加させるための措置を示す。
5. 脆弱性開示ポリシー
参加ベンダーは、一般の人による製品の脆弱性テストを可能にし、責任ある情報開示を行うことを奨励する脆弱性開示ポリシー(VDP)を公表する。
6. 共通脆弱性識別子(CVE)
自社製品のすべてのCVEレコードに、正確な共通脆弱性タイプ一覧(CWE) および共通プラットフォーム一覧(CPE) フィールドを含めることで、脆弱性報告の透明性と適時性を向上させる。
7. 侵入の証拠
メーカーの製品に影響を及ぼすサイバーセキュリティ侵入の証拠を収集する顧客の能力の向上を、測定可能な形で実証する。
CISAの上級技術顧問、Jack Cable(ジャック・ケーブル)氏 は、誓約書に署名した大手ベンダー以外にも、ソフトウェア製品を開発しているすべての企業がこの誓約書に注目し、自社製品への適用を検討するよう推奨している。「なぜなら、ご存じのとおり、攻撃者は最も簡単な方法を使うからです。それはソフトウェアの脆弱性を悪用することです」と語った。
フォーティネットがソフトウェアセキュリティへの取り組みを詳述
CISAの「Secure by Design」誓約に署名した最初のサイバーセキュリティベンダーの1社として、フォーティネットは自社製品の開発と、主要な製造パートナーの選定および認定が、米国立標準技術研究所(NIST)の文書No. 800-53「組織 と情報システムのためのセキュリティおよびプライバシー管理」、No. 800-161「システム及び組織におけるサプライチェーンのサイバーセキュリティリスクマネジメントのプラクティス」など、さまざまな業界標準とフレームワークに準拠したものになっていると主張している。
また、セキュリティ製品のテストには、静的および動的なアプリケーションセキュリティテスト、ソフトウェア構成解析、脆弱性スキャン、ペネトレーションテスト、人によるコード監査などの手段や技術を使用している。
さらに、製品セキュリティインシデント対応チームが製品のセキュリティ標準を維持し、積極的かつ透明に脆弱性を開示する責任を担っているとした。
68 tech and security titans commit to building secure software
![Nancy Liu](https://www.newsme.jp/wp-content/uploads/2022/06/Nancy-Liu-2.jpg)
SDxCentralの編集者。
サイバーセキュリティ、量子コンピューティング、ネットワーキング、およびクラウドネイティブ技術を担当している。
バイリンガルのコミュニケーション専門家兼ジャーナリストで、光情報科学技術の工学学士号と応用コミュニケーションの理学修士号を取得している。
10年近くにわたり、紙媒体やオンライン媒体での取材、調査、編成、編集に携わる。
連絡先:nliu@sdxcentral.com
![Nancy Liu](https://www.newsme.jp/wp-content/uploads/2022/06/Nancy-Liu-2.jpg)
SDxCentralの編集者。
サイバーセキュリティ、量子コンピューティング、ネットワーキング、およびクラウドネイティブ技術を担当している。
バイリンガルのコミュニケーション専門家兼ジャーナリストで、光情報科学技術の工学学士号と応用コミュニケーションの理学修士号を取得している。
10年近くにわたり、紙媒体やオンライン媒体での取材、調査、編成、編集に携わる。
連絡先:nliu@sdxcentral.com
JOIN NEWSME ニュースレター購読
月に1回、newsMEのトピックスをメールで配信しています!
登録解除も簡単です。ぜひお気軽にご購読ください
KCMEの革新的な技術情報を随時発信
5G・IoT・クラウド・セキュリティ・AIなどの注目領域のコンテンツをお届けします。
KCME注目の技術領域に関するテックブログを配信しています。
KCME注目の技術領域に関するテックブログを配信しています。
RELATED ARTICLE 関連記事
-
ネットワーク SDxCentral Studios Sponsored by VMware2024.07.26
RANや5Gの運用を妨げている、5つの要因
通信業界では、RANからエッジ、コアに至るまで、エン…
-
ネットワーク Dan Meyer2024.07.22
Linux Foundationが見る、通信業界に足りないもの=オープンネットワークについて
通信事業者は、すでに展開済みの高価な資産をもっとうま…
-
セキュリティ Nancy Liu2024.07.09
シスコ、産業用スイッチ/ルータにOTセキュリティ機能を搭載
米ネットワーク機器大手のシスコは、ゼロトラストネット…
-
セキュリティ Zeus Kerravala, ZK Research2024.06.19
ランサムウェア被害からの復旧=進歩と課題
ランサムウェア攻撃による大きな混乱があいかわらず発生…
HOT TAG 注目タグ
RANKING 閲覧ランキング
-
IT Emma Chervek
BroadcomのVMware買収による意外な影響=どう備えるか
-
セキュリティ Tobias Mann
米CitrixはMcAfee社、FireEye社と同じ運命を辿るのか=買収合併の後に
-
IT Dan Meyer
BroadcomがVMwareパートナープログラムの詳細を発表
-
ネットワーク Sean Michael Kerner
2023年 ITネットワークのトレンドTOP10 現時点
-
セキュリティ Nancy Liu
デル、データ侵害を確認=ハッカーが4900万件の顧客データ販売を主張
-
スイッチング技術 Tobias Mann
コパッケージドオプティクスの実用化は何年も先=専門家談
-
IT Dan Meyer
Dell、HPE、LenovoはBroadcomがVMwareの顧客の懸念を和らげるのに役立つか?
-
セキュリティ Nancy Liu
RSAカンファレンスが閉幕、AIセキュリティ関連の主な発表=パロアルト、マイクロソフト、Google、CrowdStrike、IBM
-
IT Nancy Liu
米Nutanixが好業績=米BroadcomによるVMwareの買収で
-
IT Dan Meyer
米BroadcomのCEOによる、VMware買収後100日間のハイライト