「脆弱性対処に向けた製品開発者向けガイド」を公開
#29 放送回のニュース解説を一部ご紹介!
製品開発者向けのガイドが公開されています。脆弱性対処に関するもので誰でもダウンロード可能です。記事には「製品開発者がセキュリティ対策として実施すべき項目を把握できる」とあります。ガイドがあると、対策レベルの基準になりますので製品開発でもセキュリティについて検討する際に有効です。もう一つ記事には「一般消費者に自組織の取り組み情報をアピールするためにすべきことを把握できる」ともあります。これは重要なポイントです。製品開発現場の方で、セキュリティ対策が必要なのはわかるが予算がないと言われたことがあるかたは少なくないのではないのでしょうか。経営者がセキュリティはあくまでもマイナスのコストと考えられていることが多いので真っ先に削られる対象になっている結果なのかなと思います。そんな時にセキュリティの取り組み状況を社外にアピールできるとなるとセキュリティ対策をプラスの投資と考えられる経営者が増えるのではないかと考えています
ガイドラインに準拠することの大切さ
ガイドラインに準拠することは特に網羅性の観点で非常に重要な要素です。記事にも「サイバー攻撃の脅威は高まる一方で製品の脆弱性に網羅的に対処するのが困難」とあります。新しい製品が産まれるたびに世の中がどんどん便利になって、社会が豊かになっていく一方でそれを悪用しようとする層も一定数出てきてしまいます。つまり、セキュリティ対策も多様化してくるという事です。その際に、例えば、専門家やセキュリティベンダーに任せるのもひとつの選択肢としてあり得ますが、丸投げとなると不安な要素があると思います。具体的には「可視化」されていない点です。任せている専門家がホワイトハッカーと呼ばれる人、いわゆる職人だったとします。職人と呼ばれる人は過去の経験値や感覚値に基づいて判断していることが多いと思います。それも、もちろん重要ですが、実態は「網羅性」が十分あるかについては取り組み状況が可視化されていないと、支援を受けている側とすれば、判断ができないという事になります。相手をもう信じるしかないというような状況です。この「網羅性」の課題を、解決するための可視化をする方法の一つとしてこのガイドラインに準拠するという方法があります。利用するガイドライン自体は、出来れば今回のような国の機関が出したものや国際的に認められているものが色々な人の目を通ってきているという意味ではより良いと考えられます。
今後もガイドラインは増えていく?
ガイドラインは増えていくというより、増やしていかなければいけないと思っています。先ほど、可視化と網羅性についてお話ししましたが、もう一つ「品質観点」についてもお話させてください。これはセキュリティ体制を内製化している組織の方にも是非聞いていただきたいのですが。製品のセキュリティがしっかりしているという事はモノの作りがしっかりしていることと同じで良い品質の製品もしくはサービスであることの証明となります。その品質の一部であるセキュリティが属人的であるということはモノづくりの観点においては非常に不安定な状況だと考えられます。理由としては品質のブレです。例えば、セキュリティ責任者が不在のとき、セキュリティ担当者の専門外であったときなどです。属人的なセキュリティ体制であれば場合によってはそれが原因でセキュリティのインシデントに繋がることもあるかもしれません。誤解なきように補足しますと、職人を否定したいわけではなく、彼らのときには120点を出せるような能力とガイドラインで実現できる常に80点を出し続けるセキュリティをキープするということは役割や期待値が違うということです。セキュリティに取り組む側としても、それらを正確に把握したうえで世界が期待するメイドインジャパンの品質をセキュリティも含めて実現していきたいです。