アンドリュー・シキアー FIDOアライアンス エグゼクティブ・ディレクター兼CEO
ソフトウェア・セキュリティの強化に向けた重要な動きとして、Cybersecurity and Infrastructure Security Agency(CISA)とFederal Bureau of Investigations(連邦捜査局)は、組織がソフトウェア・ベンダーに対してより良いセキュリティを要求するために利用できる新しいガイダンスを発表した。
セキュア・バイ・デマンド・ガイド セキュア・バイ・デマンド・ガイドセキュア・バイ・デマンド・ガイド:ソフトウェア顧客がセキュアなテクノロジー・エコシステムを推進する方法は、デジタル・サプライチェーンのセキュリティにおいてソフトウェア顧客が果たす極めて重要な役割を強調しています。 このガイドでは、ソフトウェア開発の初期段階から優先度の高いセキュリティ要件を概説しており、「セキュア・バイ・デザイン」製品を生み出すための中心的な原則となっています。
強調された項目の中には、ソフトウェア製品のデフォルト機能として、パスキーなどのフィッシングに強い認証方法が含まれている。 2024年8月6日(火)、ブラックハットUSAで発表されたこの新しい指針は、米国および世界におけるデジタル・サプライチェーンの安全性確保に向けた重要な一歩となる。
セキュア・バイ・デマンド、セキュア・バイ・デザイン
この新しいガイダンスは、CISAの最近の セキュア・バイ・デザイン・ガイドを補完するものである。 この新しいガイダンスは、サプライ・チェーンにおける調達の側面に焦点を当てることで、ソフトウェア・バイヤーに対し、フィッシングに強い認証器やパスキーといった最新のセキュリティ機能をテクノロジー・メーカーに要求するよう助言している。 そうすることで、顧客は基本的な機能としてのセキュリティに対する要求を促進し、技術メーカーに安全な設計手法を順守するよう強制することができる。
このガイダンスには、ソフトウェアのセキュリティを評価し、契約にセキュリティ要件を盛り込むための評価も含まれている。 この手引書では、買い手が脆弱性を減らし、回復力を強化するために、メーカーのセキュリティと能力を評価できるような、積極的な調達アプローチを奨励している。 本ガイドラインは、安全なソフトウェア調達のベストプラクティスを確立し、サプライチェーンのセキュリティと相互運用性を強化する製品のセキュリティ機能を強調している。
パスキーが主役に
CISA のガイダンスは、米国標準技術局(NIST)の認証およびライフサイクル管理に関するデジ タル・アイデンティティ・ガイドラインの最近のガイダンスと一致している。 補足ガイダンスであるNIST SP 800-63Bsup1 において、NIST は、同期パ スキーが認証保証レベル 2(AAL2)要件を満たし、デバイス固定パスキーが認証保証レ ベル 3(AAL3)を満たすことを確認している。 この 2 つのガイダンス文書は、デジタル・サプライ・チェーン全体にわたるデジタル ID と認証のベスト・プラクティスを含むセキュリティの重要性を強調している。
Secure by Demandガイダンスは、ITバイヤーを支援し、パスキーやFIDO認証器などの安全なソフトウェア機能に対する市場の需要を促進することができます。 ハッキング関連の侵害の80%は脆弱なパスワードまたは盗難されたパスワードであり、クレデンシャルフィッシングは2022年以降967%急増していることから、バイヤーは本ガイダンスのセキュリティ評価を利用して、パスキー機能を含むソフトウェアのセキュリティを評価し、サプライチェーンにおけるセキュリティリスク管理を改善することができる。 CISAは、このガイダンスによって、安全なソフトウェアに対する認識を高め、市場の需要を促進することを目指している。
ソフトウェアメーカーへの主な提言
CISAの「Secure by Demand」ガイドには、顧客がソフトウェアを調達する際に評価すべき重要な要件がいくつか概説されており、以下の分野におけるソフトウェアメーカーのセキュリティ能力を評価するための質問が含まれている:
- 認証器:メーカーは、セキュアで標準ベースのシングルサインオン(SSO)をサポートし、フィッシングに強い多要素認証(MFA)またはパスキーを、デフォルトで、追加コストなしで実装すべきである。
- 脆弱性の排除:SQLインジェクションやクロスサイト・スクリプティングの脆弱性など、ソフトウェアの欠陥に対処し、予防するための体系的な取り組みを行う。
- 安全なデフォルト:ソフトウェア・セキュリティの透明性と説明責任を確保するため、セキュリティ・ログは追加料金なしで顧客に提供されるべきである。
- サプライチェーンのセキュリティ:ソフトウェア部品表(SBOM)によるサードパーティの依存関係の証明と、オープンソースコンポーネントを統合するための堅牢なプロセスの確保が不可欠です。
- 脆弱性の開示:信頼を維持し、セキュリティの成果を向上させるためには、一般市民によるセキュリ ティ・テストの認可を含め、脆弱性の透明性とタイムリーな報告が不可欠である。
セキュリティ・リーダーへの行動要請
パスキーは、サードパーティのサプライチェーンを改善し、ソフトウェアの調達と開発プロセスにおけるより高いセキュリティ基準を保証します。 パスキーを認証プロセスに統合することで、組織はエンドツーエンドのデジタルIDライフサイクル管理を強化し、フィッシングやソーシャルエンジニアリング攻撃のリスクを大幅に低減することができます。
CISAのSecure by Demandガイダンスの詳細については、https://www.cisa.gov/resources-tools/resources/secure-demand-guide。
パスワードレスの準備はできましたか?
FIDO認定ディレクトリと FIDO認定メンバーショーケースを使用して、パスキーの実装方法やパスキーデプロイメントパートナーを見つける方法を学んでください。
