透明性がサイバーセキュリティにおける信頼の基盤である理由

サイバーセキュリティに対する、透明性の高いアプローチの重要性

サイバー攻撃やデータ漏えいのリスクと潜在的な影響は、もれなくあらゆる組織にとって重要な課題です。あらゆる分野の企業や公共機関は、ベンダーからの自社の製品やソリューションのセキュリティに関する主張をそのまま鵜呑みにすることはもはやありません。実際、多くの国や地域では、組織内で使用される製品やサービスのセキュリティについて、より深い洞察を求める法令が要求されています。

システムの詳細や仕組みを隠すことがセキュリティを高める最善の方法であるという考え方は、しばしば「隠ぺいによるセキュリティ」と呼ばれますが、広くに渡り信用されてきていません。米国国立標準技術研究所(NIST)自身も、「システムセキュリティは、実装やその構成要素の秘匿性に依存すべきではない」と述べています。

テクノロジーベンダーのセキュリティの実践に関する洞察は、ベンダーリスク評価を実施するための中心的な要素です。それは、ベンダーの製品が顧客のネットワークや接続されたシステムに与える潜在的な影響を調査し、そのベンダー自身がリスクを軽減するために適切な手段を講じているかどうかを判断するものです。  

そのため、顧客は、ベンダーのアプローチの全ての観点を完全に可視化することで、最適な製品セキュリティがサポートされ、製品のライフサイクル全体を通じて維持されることを求めています。この透明性に対する要求は、ベンダーの製品が顧客のセキュリティ体制をサポートできるかどうかを判断するため、そして、ベンダー、パートナー、顧客間の信頼を構築するための、基盤であるとして、受け入れられる必要があります。  

透明性がもたらす複数のメリット  

テクノロジーメーカーが自社のセキュリティの実践について透明性を確保することは、基本的に製品のセキュリティ確保への取り組みをしているのを証明することになります。これには、顧客が自身のシステムやデータを保護するために、可能な限り最も安全な方法で製品を使用できるようなセキュリティ機能や設定を提供することも含まれます。  

また、透明性を確保することで、顧客やパートナーとの効果的なコラボレーションや情報共有が可能になり、新たに発見されたソフトウェアの脆弱性に迅速に対応できます。  

さらに、透明性を確保することで、メーカーも顧客も過去のセキュリティインシデントから学習をし、全体的なセキュリティ体制を改善することができます。情報に基づいた判断は、将来のインシデントを防止し、顧客データと情報の継続的な保護を確かにすることに役立ちます。

サイバーセキュリティ認証の要件を超える

このような状況において、業界の規格や認証は、企業がサイバーセキュリティに関して基本的な取り組みを行っているということを示す保証となります。法律によってこれらの認証が義務付けられる場合だと、ベンダーはその遵守を示す必要があります。顧客に対してサービスを提供するために企業間で相互にビジネスを行う際に、契約上基準を確立する際にも有用です。また、メーカーが調達プロセスにおいて最低限の要求事項を満たしていることを顧客が確認するために、顧客が認証を証拠として活用することもあります。 

しかし、認証を”特効薬”として利用し、サイバーセキュリティに対して総合的に取り組んでいます、と示すことは避けられるべきです。認証は、企業が特定の時点で遵守する最低限のセキュリティ基準を証明するものです。それが、企業のセキュリティ(ISO 27001や、様々なサイバーセキュリティの関連規制)についてであっても、あるいは製品に特化したセキュリティ認証(FIPS 14、 ETSI EN 303 645、あるいはさまざまな他の国々特有の規格)であってもです。

さらに、規格や認証は、その性質上、 特定の業界やそのユースケースをカバーするために広範であることが多く、したがって専門的なユースケースと必ずしも関連するわけではありません。例えばIEC 62443は、特に産業オートメーションと制御システムに焦点を当てており、物理的なセキュリティとの関連性は低くなっています。

商業的な観点からは、認証や規格への準拠は、チェックリストとして利用され調達プロセスにおける競争上の優位性を得るための戦略として利用されるリスクがあります。その意図は、可能な限り多くの認証を集めて、サイバーセキュリティが「良好」であるかのように見せることです。特に、規格や技術要件が有料で提供され、無料で公開されていない場合にその傾向が高まります。  

最後に、技術やプロセス、製品の進歩は、標準化プロセスよりもはるかに速く進むことが多いため、認証だけに頼るメーカーは技術革新に後れを取ることになります。例えば、 IEEE 802.1AE MACsecネットワーク暗号化を製品に搭載することで、ネットワーク通信は大幅に強化されますが、MACsecを使用してネットワークを保護する技術やベストプラクティスは、現在の標準では規定されていません。

つまり、認証や規格には一定の価値がありますが、それは目標ではなくベースラインであり、ベンダーの広範なサイバーセキュリティ関連の活動を補完するものと捉えられるべきです。  

透明性の証拠を求める

ベンダーを検討する際、製品やソフトウェアの開発、サイバーセキュリティに関連する製品ライフサイクル全体における透明性への取り組みを示す、明確な証拠がいくつかあります。これには以下が含まれます:

• 開発、製造、流通段階から導入、稼働中、廃棄に至るまでの製品ライフサイクル全体にわたって、セキュリティ活動や対策に関する洞察を顧客に提供 すること。これらの洞察には、ベンダーの全体的なサプライチェーン自体がどのように保護されているかも含まれるべきです。   
• 製品開発と、ベンダーの社内セキュリティへのアプローチの両方に対するセキュリティポリシーと実践の公開。ユーザデータや情報を保護するための明確に公開されたポリシーや手順書を持つことは、会社がセキュリティと説明責任に対して取り組んでいることを示します。 
• 潜在的なセキュリティ上の弱点を特定して対処し、会社がセキュリティに取り組んでいることを顧客に保証するための、独立した 定期的な セキュリティ評価と監査の実施。これらは、 ISO/IEC 27001規格 評価のような組織レベルの評価、または サードパーティのペネトレーションテストのような特定の製品レベルの評価に関連する場合があります。
• サードパーティの個人、組織、当局が、製品のセキュリティ体制を技術的に簡単に評価できるような製品を提供すること。これには、デバイスソフトウェアを暗号化したりや、「隠ぺいによるセキュリティ」を促すようにする活動も含まれます。また、 ソフトウェア部品表 (SBOM)の提供も不可欠です。SBOMには、ソフトウェアに含まれる全てのオープンソースやサードパーティのコンポーネント、これらのコンポーネントを管理するライセンス、ソフトウェアで使用されているコンポーネントのバージョン、およびセキュリティの維持に必要なパッチの状況が詳細に記載されています。
• セキュリティインシデントが発生した場合の、そのベンダーの組織とその製品に関する報告の透明性。ベンダーは、明確な 脆弱性管理ポリシーを持っておくべきです。これにより、インシデントの性質、最初どのようにインシデントが発見されたか、脆弱性に対処するために取られた手順 (顧客による必要な措置を含む)、将来のインシデントを防止するための対策について適切な適切にコミュニケーションが行われることが保証されます。
• 会社のセキュリティ体制に関する、定期的な更新を顧客やパートナーに提供すること。セキュリティポリシーや実践の変更に関する情報により、最新の情報を把握するのに役立つだけでなく、より重要なこととして、顧客やパートナーが自社の製品、サービス、プロセスを保護するために迅速にアクションを取ることができます。さらに、顧客やパートナーが セキュリティ通知サービスに登録することで、セキュリティの問題にタイムリーに対応できるようになります。
• 顧客や研究者が発見した 潜在的なセキュリティ脆弱性を積極的に報告するように奨励することで、企業は悪用される前に潜在的な問題を特定して対処することに役立てられます。CVEプログラムに参加してCVE IDを開示し、 バグバウンティプログラムを確立することは、ベンダーのサイバーセキュリティの成熟度と透明性、そして安全な開発プロセスへの信頼を証明するものです。
•  製品ライフサイクル管理プロセスにおいて顧客を積極的にサポートし、製品の廃棄止や交換を計画できるよう支援します。その核となるのは、デバイスソフトウェアのサポート終了日を可能な限り早く、理想的には製品発売直後に、詳細に知らせることです。  

全てのベンダーは、顧客のサイバーセキュリティ要件に対応する製品を提供するためにできる限りの取り組みを行うべきです。認証や規格のみでは十分でなく、透明性が不可欠になります。公開された実践やポリシー、定期的な独立したセキュリティ評価と監査、そしてセキュリティインシデントに関するオープンな開示は、データを保護し、強力なサイバーセキュリティを備えた製品を提供するという、ベンダーの取り組みに対する信頼を構築するためのより信頼性の高い方法です。