これまでになく重要なセキュア・バイ・デザインの原則

Thu, 18 Jul 2024 07:36:39 Z

セキュア・バイ・デザインの概念は、ソフトウェアを設計する以前にセキュリティを組み込むことを意味します。この概念はソフトウェア開発の方法を抜本的に変革しています。

従来ソフトウェアは、多くの場合、製品の開発後に「ボルトオンセキュリティ」と呼ばれる機能を追加する設計になっていますが、それはソリューションにセキュリティが組み込まれていないことを意味します。コアとなる製品と追加機能が結合している場合、その箇所が変曲点となって攻撃の対象となります。

ソフトウェアプロバイダーがセキュア・バイ・デザインの原則に取り組むのが非常に重要なのはこのためです。Ivanti は、米国サイバーセキュリティ &・インフラセキュリティ庁 (CISA) のセキュア・バイ・デザインの誓約に初めて署名した企業です。

誓約書に署名したプロバイダーは、CISA が定めた原則に従うことを約束します。これらの原則は、初期の構想から最終的な展開まで、ソリューションの中核にセキュリティ対策を組み込むことに重点を置いています。こうすることで、ソリューションは使用開始と同時に攻撃に対する本質的な耐性を備え、顧客による導入後に脆弱性を修正する必要がなくなります。被害を食い止めるには手遅れという、ありがちな状況を回避します。

安全なデザインの基本原則

デジタル技術の進歩につきまとう脅威、それはサイバー攻撃が進化してデジタル技術を巧妙に利用してきたことです。現在、サイバー攻撃はハイブリッドネットワーク全体に広がり、企業を脅かし、混乱させ、顧客の信頼を損ない、企業の収益に大きな打撃を与える脅威となっています。 CISA の立場からすると、サイバー攻撃は国家安全保障に対するきわめて現実的な脅威でもあります。

セキュア・バイ・デザインは、セキュリティはソフトウェアの最も初期の計画段階から設計されるべきであるという新しい基本的なセキュリティ設計原則を重視します。これは、利益や政治、あるいはその両方を動機とする現代の攻撃者に対するより強力な防御につながります。

誓約署名企業としての観点から、Ivanti はセキュア・バイ・デザインの原則に適合するために求められるあらゆる措置を講じることが重要であると考えます。プロバイダーは、以下の点について自問する必要があります。メモリ安全性のためにセキュアソフトウェア開発フレームワーク (SSDF) の観点から設計されたプログラミング言語を使用しているか？潜在的な脆弱性を特定するために、定期的に脅威モデリングを実行しているか？サードパーティのライブラリまたはコンポーネントを使用しているか？それらのセキュリティ体制は？

これらの問いに答えるには、ソフトウェア開発ライフサイクル (SDLC) 全体を通じてセキュリティに重点を置く必要があります。これには以下が含まれます。

コードが記述されるまで待つのではなく、プロセス全体にセキュア・バイ・デザインの原則を取り入れることで、計画と設計全体を通じてセキュリティに重点が置かれるようにします。これは、潜在的な脅威について考え、ソフトウェアに防御を設計することを意味します。
開発を通じて包括的なセキュリティテストを組み込むことで、脆弱性を早期に発見します。これにより、ソフトウェア開発ライフサイクル (SDLC) 中またはリリース後に行うコストと複雑さを回避します。

これは、早期のセキュリティテストを行う「シフトレフト」アプローチ以上の対策となります。 Secure by Design の原則を適用することで、開発者はコードセット内で静的アプリケーションセキュリティテストと動的アプリケーションセキュリティテストを実行し、テストや脅威モデリングを最後に行うのではなく、SDLC プロセス全体でユニットテストと統合テストを実施できるようになっています。開発者はこのようにして、ほぼ毎日テストツールを使用することに慣れていきます。

安全なソフトウェア以上のもの

セキュア・バイ・デザインの原則を実践することは、セキュアコードの作成とテスト以上のことを意味します。安全な組織の上に強力な防御を構築し、サイバーセキュリティに対する総合的なアプローチを取ることなのです。これには以下のような対策が含まれます。

弱点の特定: ソフトウェアコードだけでなく、組織内のどこに脆弱性が存在するかを理解することが重要です。これは、従業員のトレーニングプログラムからセキュリティソフトウェアのパッチ適用、企業全体のセキュリティ体制に至るまで、サイバーセキュリティのさまざまな側面を分析し、最適化することを意味します。
保護と監視: 組織は、リスクを積極的に、さらには予防的に管理するために、強力なサイバーセキュリティツールを導入する必要があります。これには、疑わしい活動を検出するための監視システムや、サイバー攻撃を最初から拒否するためのファイアウォールなどの安全対策が含まれます。
インシデント対応: サイバー攻撃に対処するための明確な計画が不可欠です。攻撃を検出し、その影響を評価し、セキュリティ対策を回復および改善するための手順をまとめておく必要があります。

セキュア・バイ・デザインの原則に基づいて安全なソフトウェアシステムを実装することは、さらに他の意味もあります。セキュア・バイ・デザインが話題に上るとき、多くの場合、事実上の「セキュリティ・バイ・デフォルト」アプローチを指しています。これらは補完的な概念です。セキュア・バイ・デザインが開発ライフサイクル全体にわたってセキュリティの上で考慮すべき事項が製品に組み込まれていることを意味するのに対し、「セキュリティ・バイ・デフォルト」は、ユーザーが詳細な構成を行う必要がなく、最終製品に安全のための設定が施されていることを意味します。安全なログ管理やソフトウェア認証プロファイルなどの対策がすでに設定されており、下位互換性よりも将来を見据えたセキュリティを優先しています。

関連項目: 実践デモ: 安全な UEM 対策ですべてのエンドポイントを保護する

セキュア・バイ・デザインによる顧客のメリット

ソフトウェアプロバイダーがセキュア・バイ・デザインの原則に従ったソリューションとプラットフォームを提供する場合、最も重要なメリットは顧客が体験するメリットです。

保護の強化: セキュリティ機能が最初からソフトウェアに組み込まれていると、ソフトウェアはより強力になり、脆弱性も低減します。また、ソフトウェアが稼働しているネットワークも同様です。
DEXの強化: 開発中からセキュリティとテストに重点を置くことによって、より安定感があり、中断に強く、より最適化された製品が実現し、従業員のエクスペリエンスが向上します。
最大投資収益率 (ROI) 向上: より安全な製品により、ダウンタイムとパッチ適用が最小限に抑えられ、ユーザーの生産性を保つことができます。
合理化されたコンプライアンス: セキュア・バイ・デザインソフトウェアを使用すると、厳格なデータプライバシーとセキュリティ要件を簡単に遵守できるようになり、コンプライアンス適合のために必要な時間とリソースが削減され、制裁を回避できます。
評判の向上: セキュリティを最優先に考える企業は信頼性があるとみなされ、顧客の信頼と忠誠心を高めることができます。

Ivantiブログ: 投稿者

これまでになく重要なセキュア・バイ・デザインの原則

安全なデザインの基本原則

安全なソフトウェア以上のもの

セキュア・バイ・デザインによる顧客のメリット