セキュア・バイ・デフォルトとは【用語集詳細】
セキュア・バイ・デフォルト(Secure by Default)
セキュア・バイ・デフォルト(Secure by Default)は、ソフトウェアやハードウェアにおけるセキュリティ機能や設定を最初から(デフォルトで)組み込んだ状態にすべきというプラクティスです。
特定の問題ごとに、応急的にセキュリティ機能を付加していくのではなく、製品それ自体をセキュリティ強化し根本原因を根絶することで、ユーザー側の負荷なく保護機能を享受するできる状態とすることが望ましいとされます。
英国サイバーセキュリティ当局であるNCSCは、セキュア・バイ・デフォルトの原則を以下のように定義します。
- セキュリティは製品に最初から組み込まれているべきである。
- セキュリティは、問題の兆候ではなく、問題の根本原因に対処するものであるべきである。
- セキュリティは単一のゴール地点ではなく、製品のライフサイクルを通じて実践されるプロセスでなければならない。
- セキュリティは利便性を損なってはならない。十分にセキュアで、かつ最大限の利便性を提供しなければならない。
- セキュリティは大がかりな設定作業を要求するべきではない。すぐに利用できる状態で実装されるべきである。
- セキュリティは常に最新の脅威に備えるべく進歩すべきである。新しいセキュリティ機能は、突破するのに、構築するよりも長時間を要するべきである。
- 隠ぺいによるセキュリティ(Security through Obscurity)は避けるべきである。
- セキュリティは、ユーザーの専門的な技術知識や暗黙の振る舞いを要求すべきでない。
