ソフトウェアメーカーに求められていること
報告書「サイバーセキュリティリスクのバランスの変化」のセキュア・バイ・デザイン型ソフトウェアに関するガイダンスには、脆弱性を排除するプログラミング言語の使用など、テクノロジーに関わる具体的提言が盛り込まれています。ソフトウェアメーカーに対するいくつかの基本原則もあります。例えば、ソフトウェアを購入した時点で、最も重要なセキュリティ制御がすでに設定されており、購入者が対応する必要がないこと、という原則も含まれています。
ソフトウェアメーカーは、「徹底した透明性とアカウンタビリティを受け入れる」ことも求められています。例えば、デフォルト設定のサイバーセキュリティ制御に対する購入者の受け入れ率について、情報を共有することなどがこれに含まれるかもしれません。
また企業は、ソフトウェア開発の重要な要素としてセキュリティが優先されるよう、適切な組織構造とリーダーシップを構築する必要があります。
CISAが公表し、世界の複数のサイバーセキュリティ国家機関が承認した原則は、製品のセキュリティ向上のために大いに必要とされるインセンティブをソフトウェアメーカーに提供し、エコシステム全体でサイバーセキュリティとレジリエンス(強靭性)を強化する重要な役割を果たすことができます。
(この記事は、世界経済フォーラムのAgendaから転載したものです)
連載:世界が直面する課題の解決方法
過去記事はこちら>>
