2023 年 4 月 27 日 Marc Laliberte 著

CISA と世界中の関連機関は、技術メーカーに対し、すべての製品の設計・開発プロセスにおいてセキュア・バイ・デザインとセキュア・バイ・デフォルトを優先するよう喚起し、顧客もその動きを促進するよう求める、新しい指針を発表しました。

この動きは、現在進行中の問題への対処が目的です。これまでは、安全ではない技術を採用したことで引き起こされたサイバー攻撃やデータ漏洩の責任は、企業が負うことを余儀なくされてきました。一方ベンダは、自社の製品やサービスのセキュリティギャップに対する責任を、責任放棄や不公正な利用規約で回避しています。このため管理者は、購入した製品が攻撃に対して適切に強化されていることを確認する義務を負うことになっていました（そして、強化に失敗した場合は自らが責任を負っていました）。

CISA の新しいガイダンスでは、メーカーに対して、セキュア・バイ・デザインの原則（脅威から合理的に保護する方法で初めから製品を構築すること）とセキュア・バイ・デフォルトの設定（デフォルトで安全な設定を実装すること）を速やかに採用するよう奨励しています。このガイダンスは、セキュアな構成と製品の脆弱性に関する負担の大部分を、顧客から、より適切に対処できるテクノロジプロバイダに移すことを目的としています。

サイバーセキュリティのリスクに対する責任のバランスを変更するこの提案は、現在では完全に任意ですが、この文書は、新たな規制要件が登場する前触れでもあります。実際、ホワイトハウスが最近発表した「国家サイバーセキュリティ戦略」の第 3 節では、ベンダが安全でない初期設定や脆弱性を持つ製品を出荷することがセキュリティインシデントの主要因の 1 つであると認め、製造業者に責任を移すビジョンを提示しています。完全な戦略の詳細については、こちらでご確認ください。

ウォッチガードのセキュア・バイ・デザイン、セキュア・バイ・デフォルトのアプローチ

説明責任はウォッチガードの中核的な価値の 1 つであり、セキュリティの責任はテクノロジメーカーにあるという考えです。ウォッチガードは、上記のような方向に責任がシフトしていることを歓迎していますが、決して驚いてはいません。セキュア・バイ・デザインとセキュア・バイ・デフォルト・ポリシーは、これまでも、そしてこれからも、弊社の製品設計と開発プロセスにおいて主要な焦点となるものです。いくつかの例を見てみましょう。

セキュア・バイ・デザイン

• ISO 27001 認証済 – WatchGuard Cloud が ISO 27001 認証取得に必要な厳格な設計、開発、監査プロセスを経ていることは、ウォッチガードが情報セキュリティ管理システムに関する最高の国際基準を満たしている証です。
• 安全なソフトウェア開発ライフサイクル – 安全な設計へのコミットメントの一環として、ウォッチガードは、リリース前後に製品やサービスを積極的にテストし、脆弱性を正確に特定し迅速に解決するための厳しい社内方針を遵守しています。
• CVE Certified Numbering Authority (CNA) ステータス – ウォッチガードは、CVE プログラムの事務局である MITRE と協力し、CVE Certified Numbering Authority となっています。つまり、ウォッチガードまたは外部の研究者が当社製品およびサービス内で特定した脆弱性に対して、CVE ID を迅速かつ直接割り当て、重要情報を公開できるようになっています。
• バグバウンティプログラム – ウォッチガードは、製品の脆弱性を積極的に特定し緩和するために、幅広いセキュリティコミュニティの専門知識を活用しています。そのため、アクティブなプライベートバグバウンティプログラムとパブリックな外部脆弱性レポートチャンネルを運営しています。当社の製品に関する脆弱性の対処については、こちらをご覧ください。

セキュア・バイ・デフォルト：

• セキュリティ最適化のための簡易化 – ウォッチガードは、あらゆる種類や規模の組織に対して、シンプルなエンタープライズグレードのセキュリティソリューションの提供に取り組んでいます。その一環として、Firebox 製品や WatchGuard Cloud セキュリティサービスにおいて、セキュリティに最適化されたデフォルト設定を保証しています。
• 強力なパスワードの要求 – Firebox のセキュリティアプライアンスからセキュアアクセスポイントに至るまで、すべてのウォッチガード製品は、潜在的なセキュリティインシデントを排除するもう 1 つの重要な対策として、顧客にデフォルトパスワードから、強力でユニークなパスワードへの変更を要求しています。
• ビルトインのエンドポイントセキュリティ強化策 – ウォッチガードエンドポイントセキュリティソリューションのデフォルト動作状態は強化モードで、当社のゼロトラストアプリケーションサービスを使用し、インターネットなどの信頼できない場所からユーザがダウンロードしたものは、当社の 100% 認証プロセスで問題がないことが確認されるまで実行できません。
• MFA サポート – ウォッチガードでは、管理者、非管理者、VPN アクセス、WatchGuard Cloud へのアクセスなど、すべての Firebox ユーザアカウントで多要素認証 (MFA) をサポートしています。

ウォッチガードは、デフォルト設定の定期的な更新や、安全でない設定が確認された場合の通知の追加など、デフォルトで製品を強化する方法を常に模索しています。

お客様向けガイダンス

サイバーセキュリティテクノロジの利用者として、CISA の新しいガイダンスは、メーカーが自社製品のセキュリティに責任を持つことに新たな焦点を当てるきっかけになることでしょう。今こそベンダ選定プロセスの一環として、テクノロジプロバイダのセキュリティ態勢評価をチームに義務付ける方針を確立すべきです。また、セキュア・バイ・デザインやセキュア・バイ・デフォルトの製品を確実に採用するため、計画を策定してください。IT サプライヤと連携して、これらの方針の重要性を強化することも忘れてはなりません。

もちろん、セキュリティの負担を単独で負う必要はありませんが、今のところ、新たな規制要件によってベンダに責任が移るまでは、自らの声と資金を活用して対策を講じることが、最も安全な道です。

ウォッチガードの製品がセキュア・バイ・デザインとセキュア・バイ・デフォルトの両方を兼ね備えることを保証するポリシーとプロセスの詳細については、当社のトラストセンター(US)をご覧ください。