世界の最大手のソフトウェアベンダー、サイバーセキュリティベンダー約70社が、米 サイバーセキュリティ・インフラセキュリティ庁（CISA）の「Secure by Design」（セキュア・バイ・デザイン）の誓約書に署名した。セキュリティ機能をソフトウェアの開発時から組み込む取り組みは広く行われており、同庁がこうした誓約を呼びかけているのもその1つだ。Amazon Web Services（AWS）、Cisco、Google、Hewlett Packard Enterprise（HPE）、IBM、Microsoftなどの大手テック企業、Cloudflare、CrowdStrike、Fortinet、Palo Alto Networksなどの大手サイバーセキュリティ企業十数社が参加している。

RSAカンファレンス2024で行われた「Secure By Design」誓約の発表の場で、CISAの長官、Jen Easterly（ジェン・イースタリー）氏は、この取り組みはホワイトハウスの国家サイバーセキュリティ戦略に沿ったもので、サイバーセキュリティに関する負担を、個人や中小企業、地方自治体から、テック企業のような専門性のある組織に移すことを求めるものだと述べた。

「ここにいる誰もが、脅威に関して現状のような状況の中で生きています。非常に手強い問題ですが、この部屋にいる皆さまのエネルギーとコミットメントがあれば、私たちは今後1年間で、この分野に大きな影響を与えられると心から思っています」と氏は語った。「また、率直に申し上げて、私たちに他の選択肢はありません」

CISAの「Secure by Design」誓約の目標

参加ソフトウェアメーカーが誓約しているのは、今後1年間、次の7つの目標に向けて測定可能な進展を示せるように取り組むことだ。

1. 多要素認証（MFA）
自社製品における多要素認証（MFA）の採用を測定可能な形で増加させるための具体的な行動を、1年以内に示すことを約束する。
2. デフォルトのパスワード
自社製品全体のデフォルトパスワードの削減に向けて、測定可能な進捗状況を示す。
3. 脆弱性の削減
1つ以上の脆弱性クラスの蔓延を測定可能な程度に大幅に削減するための措置を講じる。
4. セキュリティパッチ
顧客によるセキュリティパッチのインストールを確実に増加させるための措置を示す。
5. 脆弱性開示ポリシー
参加ベンダーは、一般の人による製品の脆弱性テストを可能にし、責任ある情報開示を行うことを奨励する脆弱性開示ポリシー（VDP）を公表する。
6. 共通脆弱性識別子（CVE）
自社製品のすべてのCVEレコードに、正確な共通脆弱性タイプ一覧（CWE） および共通プラットフォーム一覧（CPE） フィールドを含めることで、脆弱性報告の透明性と適時性を向上させる。
7. 侵入の証拠
メーカーの製品に影響を及ぼすサイバーセキュリティ侵入の証拠を収集する顧客の能力の向上を、測定可能な形で実証する。

CISAの上級技術顧問、Jack Cable（ジャック・ケーブル）氏 は、誓約書に署名した大手ベンダー以外にも、ソフトウェア製品を開発しているすべての企業がこの誓約書に注目し、自社製品への適用を検討するよう推奨している。「なぜなら、ご存じのとおり、攻撃者は最も簡単な方法を使うからです。それはソフトウェアの脆弱性を悪用することです」と語った。

フォーティネットがソフトウェアセキュリティへの取り組みを詳述

CISAの「Secure by Design」誓約に署名した最初のサイバーセキュリティベンダーの1社として、フォーティネットは自社製品の開発と、主要な製造パートナーの選定および認定が、米国立標準技術研究所（NIST）の文書No. 800-53「組織 と情報システムのためのセキュリティおよびプライバシー管理」、No. 800-161「システム及び組織におけるサプライチェーンのサイバーセキュリティリスクマネジメントのプラクティス」など、さまざまな業界標準とフレームワークに準拠したものになっていると主張している。

また、セキュリティ製品のテストには、静的および動的なアプリケーションセキュリティテスト、ソフトウェア構成解析、脆弱性スキャン、ペネトレーションテスト、人によるコード監査などの手段や技術を使用している。

さらに、製品セキュリティインシデント対応チームが製品のセキュリティ標準を維持し、積極的かつ透明に脆弱性を開示する責任を担っているとした。

68 tech and security titans commit to building secure software