キービジュアル画像

2024年6月5日

サイバーセキュリティ対策の新たな潮流

セキュア・バイ・デザインとセキュア・バイ・デフォルトがつくる安全なデジタル社会

デジタルコンサルティング部 石岡 宏規

ソフトウェア脆弱性の悪用による社会インフラへの影響

ソフトウェアの脆弱性を悪用するサイバー攻撃が社会インフラに影響を及ぼしている。たとえば、2023年7月に発生した名古屋港コンテナターミナルへのサイバー攻撃では、VPNソフトウェアの脆弱性が悪用され、コンテナ搬出入作業が停止した*1。ソフトウェア開発事業者は従来、このようなインシデントの要因となりうるソフトウェアの脆弱性を低減する取り組みに苦労している。また、ソフトウェアの利用者(顧客)は、ICTシステムをセキュアに利用するための対策とそれに係る負担に日々悩んでいる。

こういった課題に対処するため、「セキュア・バイ・デザイン」と「セキュア・バイ・デフォルト」と呼ばれる概念が注目されている。これらは、ソフトウェアの設計から保守までの一連の過程であるソフトウェアライフサイクル全体を通じてセキュリティを考慮するものだ。

本稿では、これらの概念を紹介するとともに、米国サイバーセキュリティ・社会基盤安全保障庁(CISA)等が公表し、我が国の内閣サイバーセキュリティセンター(NISC)とJPCERTコーディネーションセンターも改訂版文書の署名に加わった国際共同ガイダンス「Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Security by Design and Default(サイバーセキュリティリスクのバランスを変える:セキュア・バイ・デザイン、セキュア・バイ・デフォルトの原則とアプローチ)」を概観し、ソフトウェア開発事業者と顧客のサイバーセキュリティに係る取り組みの方向性を探ってみたい。

セキュア・バイ・デザインとセキュア・バイ・デフォルト

「セキュア・バイ・デザイン」とは、IT製品(特にソフトウェア)の安全性が設計段階から確保されているという概念である。対処療法的にセキュリティを追加するのではなく、ソフトウェアの設計段階から脆弱性の根本要因に踏み込み、サイバー攻撃への一貫した対策を作り込むものである。この点は、前述のガイダンス文書においても、顧客のセキュリティをビジネス上の目標として位置付け、設計段階においてサイバー脅威を特定するリスク評価などを行うこととして説明されている。

また、「セキュア・バイ・デフォルト」とは、追加の費用および設定変更作業なしに、ソフトウェア調達後すぐ、基本的なセキュリティが確保できているという概念である。セキュアな初期設定から逸脱した場合に、必要な措置を講じなければ被害を受ける可能性が高まることを、顧客が把握できるよう設計されるともいえる。

Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Security by Design and Defaultの概要

本ガイダンスは、「セキュア・バイ・デザイン」と「セキュア・バイ・デフォルト」の概念に基づき、セキュリティをソフトウェアライフサイクルに組み込むための参考文書である。ソフトウェア開発事業者が脆弱なソフトウェアを商品化しないよう、そして顧客にセキュリティ確保の負担をできるだけ負わせないようにすることを目指している。CISAのほか、国家安全保障局(NSA)、連邦捜査局(FBI)、英国国家サイバーセキュリティセンター(NCSC)といった、主要国のサイバーセキュリティ機関も署名していることから、今後、各国共通の規範・概念に位置付けられると想定される。

文書の中では、ソフトウェア開発事業者に求められる3つの原則が、プラクティス(実例)とあわせて整理されている。

また、顧客には、3つの原則に取り組むソフトウェア開発事業者から調達を進めること、主要なソフトウェア開発事業者と戦略的な関係を築くことなどを推奨している。

ソフトウェア開発事業者に求められる3つの原則

左右スクロールで表全体を閲覧できます

原則 内容 プラクティス例

原則1:顧客にもたらされるセキュリティの結果に責任を負う

アプリケーションのハードニング(セキュリティ強化)、セキュリティ機能やソフトウェアのデフォルト設定といった取り組みに投資する

デフォルトパスワードの削除、セキュリティマニュアルの簡素化、セキュアなソフトウェア開発フレームワークへの準拠の文書化、追加費用なしでログ記録機能を提供すること

原則2:徹底的な透明性と説明責任を果たす

ソフトウェアのセキュアな開発・保守のプロセス、ソフトウェアを成熟させていることを示すデータ等を公開する

修正プログラム適用やセキュリティ関連の総合的な統計、ソフトウェア部品表(SBOM)、セキュア・バイ・デザインを担当する経営層幹部を公表すること

原則3:トップ主導で取り組みを進める

経営層によるリーダーシップにより、セキュリティを単なる技術上の特性ではなく経営上の優先事項とする

財務報告にセキュア・バイ・デザインのプログラム詳細を含めること、自組織の取締役会に対し定期的に報告を行うこと

出所:Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Security by Design and Defaultを基に、みずほリサーチ&テクノロジーズ作成

ソフトウェア開発事業者および顧客の取り組みの方向性

これら3原則を活用することで得られる効果と、その理由や背景を整理し、今後の取り組みの課題と方向性を考えてみたい。

1ソフトウェア開発事業者

短期的には脆弱性修正プログラムの作成コストを、長期的にはソフトウェアの保守コストを低減することが期待できる。これは、「セキュア・バイ・デザイン」と「セキュア・バイ・デフォルト」の取り組みにより、ソフトウェアの脆弱性を低減する開発を行うことによる直接的な効果である。また、セキュリティに配慮したソフトウェアを顧客が利用することで、設定ミスなどのリスクが低減すれば、顧客のセキュリティが向上し、ソフトウェア開発事業者に対する信頼向上にもつながる。

こういった効果を得るには、サプライチェーンを含め、セキュア・バイ・デザインとセキュア・バイ・デフォルトの概念を含むソフトウェア開発・保守のプロセスを整備する必要があり、ソフトウェア開発規約の変更といったプロセス変革などに相応の投資が必要になる。長期的な目線での投資効果も念頭に、取り組みを進めるスタンスが不可欠である。

2顧客

米国では、サイバーセキュリティのリスク管理、戦略やインシデントに関する上場企業の情報開示が進んでいる*2。今後、我が国においても、投資家をはじめとするステークホルダーの関心が高まり、サイバーセキュリティに関する説明責任が求められると想定される。顧客はソフトウェアの調達・運用をソフトウェア開発事業者任せにできない状況になる中、自組織の経営リスク評価において、彼らの取り組みを把握することで、サイバーセキュリティのリスク管理の高度化や、情報開示等に活用できるのではないか。また、適切なソフトウェア開発事業者を選定するために、3原則の実施状況を確認することで、脆弱性修正プログラム導入等の運用負担を軽減することが期待できる。

こうした情報開示やソフトウェア開発事業者選定には、専門性を持った人員・体制の整備が必要となるのはいうまでもない。

セキュアなソフトウェアの開発と調達に向けて

諸外国の動向を念頭に置くと、我が国においても、ソフトウェア開発事業者は、セキュリティに詳しい専門家を活用し、「セキュア・バイ・デフォルト」や「セキュア・バイ・デザイン」の概念を含むソフトウェア開発・保守のプロセスを整備する段階に入っている。また、顧客も、ソフトウェア調達・運用へより積極的に関与するための人員・体制の整備について議論を進める必要がある。

総務省によると、ソフトウェア脆弱性の悪用に限定されていないものの、セキュリティインシデントに起因した1組織あたり年間平均被害額は3億円を超えると算出されている*3。セキュアなソフトウェアライフサイクル整備を進めなければ、ソフトウェア脆弱性を突いたサイバー攻撃による損害や、ICTシステムをセキュアに利用するための負担増加に直面することになる。企業価値を向上していくうえで必要不可欠な投資であり、経営課題として取り組みを進めることが重要である。

石岡 宏規(いしおか ひろき)
みずほリサーチ&テクノロジーズ デジタルコンサルティング部 上席主任コンサルタント

ISO/IEC 15408の評価およびコンサルティングの経験を活かし、組み込み機器・自動車、セキュリティ認証制度などに関する技術動向調査・コンサルティングに従事。また、偽・誤情報に関する調査研究、システム監査、脆弱性診断、リスク分析などのセキュリティ業務にも携わる。

関連情報

【連載】デジタル×セカイ×ミライ:変化の穂先をのぞむ

この執筆者はこちらも執筆しています