SOMPO CYBER SECURITY
セキュリティ・バイ・デザイン(Security by Design)
セキュリティ・バイ・デザイン(Security by Design,SBD)あるいはセキュア・バイ・デザイン(Secure by Design)とは、システム導入・運用後の後付けではなく、企画・設計を含む開発ライフサイクル全体でセキュリティ対策を組み込むことで、サイバーセキュリティを確保するという考え方です。
内閣サイバーセキュリティセンター(NISC)は、セキュリティ・バイ・デザインを「情報セキュリティを企画・設計段階から確保するための方策」として定義します。企画・設計の段階からセキュリティ対策を組み込むためには、調達担当者が「情報セキュリティに係る仕様」を調達仕様書に適切に組み込める方法を確立することが必要とされています。
デジタル庁は、「政府情報システムにおけるセキュリティ・バイ・デザインガイドライン」において、この概念を以下のように定義します。
情報システムの企画工程から設計工程、開発工程、運用工程まで含めた全てのシステムライフサイクルにおいて、一貫したセキュリティを確保する方策
米CISAは、サイバーセキュリティ分野における安全保障強化施策の1つとして、セキュア・バイ・デザイン/セキュア・バイ・デフォルトを推進しています。
CISAは、従来の定義に加えて、顧客を保護するセキュリティを、単なる技術仕様だけでなく中核的な事業目標に据えた製品をセキュア・バイ・デザインであると規定しています。
また、製品を取得した時点で、ユーザーによる設定作業や追加コストの必要なく、適切なセキュリティ機能が利用可能であるという状態をセキュア・バイ・デフォルト(Secure by Default)としています。
CISAおよびFBI、NSA、オーストラリア、カナダ、英国、ドイツ等各パートナーが2023年4月に共同で公開したガイダンス、セキュア・バイ・デザイン/デフォルト原則(Shifting the Balance of Cybersecurity Risk)は、ソフトウェア製造者に対し、概ね以下の施策を推奨しています。
サプライチェーンにおけるリスク管理の重要性の話は、今に始まったことではありません。しかし、私たちのビジネス環境は変化し続けていますし、サイバー攻撃も年々巧妙化・複雑化し続けています。こうした状況下では、リスク管理の手法もまた、絶えず進化していく必要があります。 「一度始めれば終わり」という考え方では対応できない、変化し続けるサプライチェーンリスク管理の課題と最新の対策について、本連載「サイバーリス...
SOMPO CYBER SECURITY サービス推進部ビジネス推進グループ所属 上級研究員 マオール・シュワルツ氏(Sompo Cyber Tech Forum 2024にて) 皆さん、こんにちは。 SOMPO CYBER SECURITYで上級研究員を務めるマオール・シュワルツ(Maor Shwartz)です。 現在は都内在住ですが、来日する以前は、7年間イスラエル国防軍に在籍し 空軍のインテ...
2021年7月 イスラエルにあるSOMPO Digital Lab Tel Aviv内に発足したサイバーチームが発信するニュースレターを紹介します。今回のニュースレターでは、Webアプリケーションスキャナーを比較・検討する際に、実際に用いた手順を紹介します。 Max Cohen@SOMPO Digital Lab Tel Aviv | 2024年2月 記事に関するご意見・お問い合わせはこちらへお寄...
目次 はじめに 各セキュリティ診断サービスの対象範囲 実施するタイミング 診断の規模 優先度が高い対象 実施にかかる期間 はじめに ここ10年ほどで、企業のWEBサーバやWEBアプリケーションなどの脆弱性を狙ったサイバー攻撃が急増し、ここ数年は高止まり状態になっています。サイバー攻撃を自分事ととらえ、日ごろから対策をしっかりとっておくことが求められています。 このコラムでは、デジタル庁が出している...