米CISAの誓約に250社超が賛同! 「セキュアバイデザイン」の時代へ
提供: フォーティネットジャパン
本記事はフォーティネットジャパンが提供する「FORTINETブログ」に掲載された「2025年以降も重要視されるセキュアバイデザイン」を再編集したものです。
サイバーレジリエンスの強化は、長年にわたって共有の責任とされてきました。政府機関、学会、エンドユーザーを含む官民両部門のさまざまな組織が、私たちのデジタルインフラストラクチャ全体を保護する上で重要な役割を果たしています。
しかしながら、脅威情勢が複雑化し、あらゆる規模の組織がかつてないペースで新技術を導入する中、製品やシステムの安全性については、テクノロジーベンダーに責任が集中しています。
すべての人のサイバーセキュリティ促進に不可欠なツール
セキュアバイデザインとは、ベンダーが製品開発に取り入れるべき基本的アプローチであり、セキュリティは後から対策するものではなく、設計および開発プロセスの必須要素であるという考え方です。
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、2023年国家サイバーセキュリティ戦略を実施するにあたり、このコンセプトを採用しました。この国家戦略には、米国におけるサイバー空間の役割、責任、リソースの配分方法を根本的に変える必要性が示されています。そこで指摘されていたのは、「サイバーセキュリティの負担を個人、中小企業、地方自治体、インフラ事業者から、すべての人のリスク軽減において最も高い能力を有し、最も適した立場にある組織に移すことで、サイバー空間の防衛責任を再調整する」必要性です。テクノロジーベンダーは、顧客のセキュリティ効果に責任を持つと共に、徹底した透明性を確保し、説明責任を果たす必要があります。
フォーティネットを含む一部のテクノロジープロバイダーは、数十年前から製品開発プロセスにこれらの原則を適用してきました。その一方で、セキュアバイデザインは、サイバーセキュリティを強化するための重要なツールでありながら、いまだに過少評価されています。
今日、我々の業界は引き続きセキュアバイデザインを優先課題とすべきです。たとえ政治情勢が変化しても、集団的サイバーレジリエンスを強化することはすべての人の利益になります。
CISAのセキュアバイデザインの誓約が業界全体を刺激
セキュアバイデザインの概念が登場してから、CISAはこれらの原則の導入を促すためにいくつかのイニシアチブを発表しました。そのうちの一つがセキュアバイデザインの誓約です。この誓約は、エンタープライズソフトウェアに関する主要なセキュアバイデザインの開発手法に賛同する組織が自発的に署名するものです。私はCISAと緊密な協力関係にあるリーダーの一員として、セキュアバイデザインの原則と誓約の策定に携わることができました。また、先月には、セキュアバイデザインの誓約策定への取り組みが評価され、Institute for Security and Technologyの2025年Cyber Policy Awardにおいて、U.S. Domestic Policy Impact(米国国内政策への影響)部門をCISAと共同受賞するという栄誉を得ました。
この誓約は2024年5月に発表され、当初は68社が署名しました。その数は昨年末までに急増し、署名企業は250社以上に上りました。同誓約に対する肯定的な受け止めは、サイバーセキュリティ市場のダイナミクスにおいて重要な進展があったことを示しています。同誓約では、ソフトウェア企業が製品セキュリティを強化するためのロードマップと、顧客が調達プロセスで使用できる指針を示すことで、セキュアバイデザインの抽象的な概念を利用しやすくしました。
セキュアバイデザインはサイバーレジリエンス強化への「入り口」
セキュアバイデザインの誓約を策定するにあたり、CISAとその協力企業は、この誓約はベンダーがそれぞれの目標を選択できるものではなく、「オール・オア・ナッシング(全か無か)」の取り組みとすることで合意しました。単純明快な成果を目標とする場合は、特定の指針を規定する代わりに、署名者が自らの判断で目標を掲げる自由を認めるように誓約を設計することもできます。さらに私たちは、目標が具体的な成果につながり、その達成度がわかりやすい指標によって示されなければならないこと、そして、その指標はベンダーが潜在顧客および既存顧客と共有できるものであることも確認しました。
その結果、同誓約はテクノロジーベンダーが顧客のセキュリティ強化に使用する「入り口」として構想され、セキュアバイデザインの実践に関する有意義かつ柔軟な指針を示すものになりました。また、同誓約とその目標は、購入者が調達時にベンダーや製品のサイバーセキュリティを検証する際の貴重な判断材料にもなります。テクノロジーバイヤーは、この誓約を製品の判断基準として使用し、同誓約に署名しているかどうか、署名している場合は、その原則の実施についてどのような情報を共有できるか、などをベンダーに質問することができます。
セキュアバイデザインに対するフォーティネットの継続的な取り組み
フォーティネットは、製品開発のライフサイクル全体を通してサイバーセキュリティのベストプラクティスを積極的に取り入れ、それを維持することを長期的コミットメントとして掲げています。私たちは、テクノロジーベンダーの間でセキュアバイデザインの原則が普及すれば、集団的サイバーレジリエンスが向上すると考えています。それを業界全体で実現できる取り組みが、セキュアバイデザインの誓約です。
昨年に同誓約に署名して以来、当社では個々の目標達成率が大幅に向上しました。例えば、インストール時のデフォルトパスワードの使用をなくす、パッチを適用していないと思われる顧客グループが使用する製品を特定し、その更新を自動化する、フォーティネットのCVE(Common Vulnerabilities and Exposures)リストに関連する脆弱性の種類を公開する、などの項目で大きな進歩が見られました。
セキュアバイデザインの次なる展開
セキュアバイデザインは、市場の力を活用して集団的サイバーセキュリティを強化するための有益なツールです。多数のベンダーがその原則を採用しているのは喜ばしいことですが、活動をさらに進めていく必要があります。テクノロジーバイヤーは、ベンダーがセキュアバイデザインを推進していることと、誓約における目標の達成度を共有することを要求すべきです。
フォーティネットは企業として、セキュアバイデザインの理念を発展させるため、今後も官民両部門のパートナーと協力していきたいと考えています。私たちは一致協力して、すべての人にとってより安全かつ強靭なデジタルの未来を築いていきます。