{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は2023年10月16日、日本の内閣サイバーセキュリティセンター(NISC)など17カ国のサイバーセキュリティ組織と共同で、セキュア・バイ・デザインの原則とアプローチに関するガイダンス「Secure-by-Design - Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Secure by Design Software」(以下「セキュア・バイ・デザインガイダンス」という)の更新版を公開しました。
セキュア・バイ・デザインガイダンスは、米国のIoT製品サイバーセキュリティラベリングプログラム「U.S. Cyber Trust Mark」*1と同様、2023年に公表された米国国家サイバーセキュリティ戦略*2の第3部「市場の力により消費者IoT製品セキュリティを促進する」のもう1つの具体化施策と言えます。
製品セキュリティラベリング制度の国家間相互認証の機運が高まるなか、セキュア・バイ・デザインガイダンスの公開は、製品セキュリティに関するグローバル各国の歩調合わせを意味しており、EUのサイバーレジリエンス法案*3のように製品セキュリティベースラインとして各国の国内法令に反映される可能性があります。セキュリティ対策を十分に講じた製品は、米国の政策的な後押しを受けて米国市場においてその信頼性が高まり、市場競争において優位になると考えられます。そのため、ソフトウェア製造者、顧客ともプロアクティブに対応する必要があります。
セキュア・バイ・デザインガイダンスの概要
セキュア・バイ・デザインガイダンスは、2023年4月に公開された初版ガイド*4における「顧客のセキュリティ課題に当事者意識を持つ」「徹底的な透明性と説明責任を積極的に受容」「経営層のリーダーシップ」の3原則をより詳しく展開しており、全てのAIシステムに適用できるように拡張されています。
同ガイダンスは、ソフトウェア製造者*5とその顧客*6を対象者とし、それぞれに対してその製品に関して技術的に脆弱性を減らし、組織的に競争力の向上を目的として、製品セキュリティにおいて講ずるべき戦略や手法を紹介しています。技術的な面と組織的な面を統合させたガイダンスであり、組織のセキュリティ体制としてあるべき姿が見える内容となっています。
原則1:製造者は顧客のセキュリティ課題に当事者意識を持つ
セキュア・バイ・デザインガイダンスは、製造者に対して、製品のレジリエンス、セキュリティ機能、初期設定など製品のセキュリティ対策に積極的に取り組むことを求めています。製造者が設計・開発段階からセキュリティを積極的に織り込むことは、顧客のセキュリティ課題に当事者意識を有していることの裏返しであり、顧客がセキュリティ態勢を構築し、サイバー被害に遭う可能性を低減させることに寄与します。
原則1:「顧客のセキュリティ課題に当事者意識を持つ」について、「セキュア・バイ・デザイン」「セキュア製品開発」「セキュリティ優先のビジネス」の3つの観点からベストプラクティスを紹介しています。
原則2:製造者は徹底的な透明性と説明責任を積極的に受容
製造者が自社の開発した製品に関して、「セキュア・バイ・デザイン」「セキュア製品開発」「セキュリティ優先のビジネス」の3つの観点から情報を公表することで、「透明性」を確保することを求めています。例えば、この3つの観点から、多要素認証の採用、パッチ適用率、放置されている管理者特権の状況の公表、内部セキュリティ管理体制、脅威動向の公表、SBOMの発行、セキュア・バイ・デザイン担当者の設置、ロードマップの公表などが推奨事項として挙げられます。
このように「徹底的な透明性」を確保することが、自社製品に関する「説明責任」を支えることになり、業界全体のセキュリティレベルの向上、セキュリティに関する顧客や投資家などの高い評価につながります。
原則3:製造者経営層のリーダーシップ
製造者の経営層は、「セキュア・バイ・デザイン」を企業パーパスとし、企業サイバー責任(Corporate Cyber Responsibility)についてリーダーシップを発揮することが求められています。セキュリティは、ビジネス上の優先事項として製品の設計より早い段階で始めるべきです。例えば、セキュア・バイ・デザインの取り組みの統合報告書への記載、取締役会への定期的な報告、セキュア・バイ・デザイン担当者の設置、品質保証の仕組みの構築などが考えられます。
特にセキュリティと品質維持は、単なる技術的な問題ではなく、経営上の課題となって初めて顧客のセキュリティニーズに積極的に対応できるようになります。また、製品セキュリティは、顧客が後から付け加えるのではなく、提供時に既にデフォルトで入っているべきであるという考えのもと、製品品質問題として認識することが重要です。欧州は既に、製品セキュリティを製品品質問題として製造物責任指令に組み込む作業に着手しています*7。
顧客への推奨事項
顧客経営層は、セキュア・バイ・デザイン製品やセキュア・バイ・デフォルト製品のため、製造者と連携し、戦略的に行動すべきです。例えば、顧客の経営層にてテクノロジー製品のセキュリティリスクに対する受容度を決定したり、ビジネス課題としてセキュリティに対する投資を積極的に行ったり、製品を購入する際の要件や評価基準などを整備したり、製造者に対して透明性を要求したりすることなどが考えられます。
まとめ
セキュア・バイ・デザインガイダンスは、技術的な側面のみならず、企業の経営課題として製品セキュリティにどのように取り組んでいくかという側面についても統合されたガイドラインを提供しています。強制適用されるものではないですが、今後各国のガイドラインなどに反映される可能性は高いと思われます。また、製品セキュリティは製品の品質問題として認識が高まると考えられます。ソフトウェア製造者、顧客ともプロアクティブに対応する必要があります。
サイバーセキュリティは国際的な課題であり、今回のような国際連携による共同ガイダンスは、企業にとっても望ましいと言え、今後このようなガイダンスの公表が増えていくものと思われます。
*1 IoT製品サイバーセキュリティラベリングプログラム「U.S. Cyber Trust Mark」、米国の方針
https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/iot-product-us-cyber-trust-mark.html
*2 NATIONAL CYBERSECURITY STRATEGY,2023年11月1日閲覧,
https://www.whitehouse.gov/wp-content/uploads/2023/03/National-Cybersecurity-Strategy-2023.pdf
*3 欧州サイバーレジリエンス法案(EU Cyber Resilience Act)概説~日本の製造業への影響と最低限押さえるべき要点~
https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/eu-cyber-resilience-act.html
*4 Shifting the Balance of Cybersecurity Risk:Principles and Approaches for Security-byDesign and -Default,2023年11月1日閲覧,
https://www.cisa.gov/sites/default/files/2023-06/principles_approaches_for_security-by-design-default_508c.pdf
*5 ソフトウェア製造者(Software Manufacturers)とは、モノの製造を含むがこれに限らない意味で用いる。
*6 顧客(Customers)とは、サービスの利用、購買などについて有償無償問わず、そのユーザ、利用者など広く包含する意味で用いる。
*7 Proposal for a DIRECTIVE OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on liability for defective products,2023年11月1日閲覧,
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52022PC0495
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
