「セキュリティ・バイ・デザイン」ガイダンスに新版 - 「AIシステム」も対象

米国のセキュリティ関連機関は、日本を含む国際的な協力のもと、設計開発段階からセキュリティを盛り込む「セキュリティ・バイ・デザイン（セキュア・バイ・デザイン）」のガイダンスについてアップデートを実施した。

改訂版がリリースされた「Principles and Approaches for Secure by Design Software」。サイバーセキュリティリスクのバランスをシフトさせるとして、開発設計段階よりセキュリティ対策を盛り込むことが掲げられている

米サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）や米国家安全保障局（NSA）、米連邦捜査局（FBI）では、欧州やアジア太平洋地域、カナダ、イスラエルなど12カ国の機関と連携し、同ガイダンスを取りまとめたもの。

日本に関しては、内閣官房情報セキュリティセンター（NISC）やJPCERTコーディネーションセンターなどもパートナーに挙がっている。

同ガイダンスは、安全に利用できるようソフトウェアの設計開発について原則やアプローチの方法などを取りまとめている。2023年4月に初版をリリースしているが、今回公開した第2版では、ソフトウェアメーカーや利用者、学術機関、政府機関などステークホルダーより寄せられたフィードバックを反映した。

利用者の安全を最優先とし、経営者主導のもと開発ライフサイクルの設計段階よりセキュリティを実装して初期状態でも安全に利用できるようにすることを目指しており、ソフトウェア開発者やテクノロジー企業では透明性を確保するとともに説明責任を果たし、顧客にもたらされたセキュリティの結果を負うこととしている。

（Security NEXT - 2023/10/20 ） ツイート

PR

関連記事

遠隔アクセス用サーバ経由で侵入、個人情報流出の可能性も - サカタのタネ
顧客管理システムの開発委託先で侵害 - 日産ディーラーの個人情報が流出
「Frappe Framework」「ERPNext」にXSS脆弱性 - 管理者権限奪取のおそれ
DigiEver製NVRの脆弱性悪用に注意 - 米CISAが警告
「n8n」に深刻なRCE脆弱性 - 乗っ取りや情報漏洩など広く影響
「Microsoft Edge」にセキュリティアップデート - 脆弱性2件を修正
市公開ファイル内に個人情報、コピペ操作で参照可能 - 日置市
受験者情報が長期間ネット公開、通常と異なる作業フローで - TAC
委託先で不正アクセス、個人情報流出の痕跡は確認されず - NECネクサ
郵便物を一時紛失、拾得物として回収 - 名古屋の郵便局