« EU 欧州保険・企業年金監督局 (EIOPA) サイバーリスクに関する保険ストレステストの方法論的原則に関する文書 (2023.07.11) | Main | NIST IR 8408 ステーブルコイン技術と関連するセキュリティ上の考慮事項の理解 »

2023.09.08

米国 CISA 幼稚園から高校まで (K-12) への教育ソフト開発会社とセキュア・バイ・デザインの誓約をかわす (2023.09.05)

こんにちは、丸山満彦です。

米国 CISA 幼稚園から高校まで (K-12) への教育ソフト開発会社とセキュア・バイ・デザインの誓約をかわしたと発表していますね。。。

約束をした3つの事項は、

Companies that sign the pledge are publicly agreeing to adopt three principles: 誓約書に署名した企業は、3つの原則を採用することに公的に同意したことになる:
・Take ownership of customer security outcomes ・顧客のセキュリティ成果のオーナーシップを持つ
・Embrace radical transparency and accountability ・抜本的な透明性と説明責任を受け入れる
・Lead from the top by making secure technology a key priority for company leadership ・セキュアな技術を企業リーダーシップの重要な優先事項とすることで、トップが主導する。

 

Row of cybersecurity icons outlining the three principles of Secure by design pledge

 

CISA

プレス...

・2023.09.05 CISA Announces Secure by Design Pledge with K-12 Education Technology Providers

 

CISA Announces Secure by Design Pledge with K-12 Education Technology Providers CISA、K-12教育テクノロジ・プロバイダとのセキュア・バイ・デザイン誓約を発表
WASHINGTON – The Cybersecurity and Infrastructure Security Agency (CISA) is announcing a voluntary pledge for K-12 Education Technology software manufacturers to commit to designing products with greater security built in. As of September 1, CISA has received commitments from six K-12 software technology providers, including some of the largest providers of K-12 education software in the United States. Commitments received include 
PowerSchool,  
Classlink,  
Clever
GG4L,  
Instructure,  and 
D2L. 
ワシントン - サイバーセキュリティ・インフラセキュリティ庁(CISA)は、K-12教育テクノロジ・ソフトウェア・メーカーに対し、より高いセキュリティを組み込んだ製品を設計することを約束する自発的な誓約を発表した。9月1日現在、CISAは、米国最大のK-12教育ソフトウェアのプロバイダを含む6つのK-12ソフトウェア技術プロバイダから誓約書を受け取っている。PowerSchool、Classlink、Clever、GG4L、Instructure、D2Lなどである。
“We need to address K-12 cybersecurity issues at its foundation by ensuring schools and administrators have access to technology and software that is safe and secure right out of the box,” said CISA Director Jen Easterly. “I want to thank Classlink, Clever, D2L, GG4L, Instructure, and PowerSchool who have already signed this pledge and for their leadership in this area. We need all K-12 software manufacturers to help us improve cybersecurity for the education sector by committing to prioritize security as a critical element of product development.” CISAのディレクターであるジェン・イースタリーは次のように述べている。「私たちは、学校と管理者が安全でセキュアなテクノロジーとソフトウェアにすぐにアクセスできるようにすることで、K-12のサイバーセキュリティ問題の根幹に取り組む必要がある。すでにこの誓約書に署名し、この分野でリーダーシップを発揮しているClasslink、Clever、D2L、GG4L、Instructure、PowerSchoolに感謝したい。我々は、すべてのK-12ソフトウェアメーカーが、製品開発の重要な要素としてセキュリティを優先することを約束することで、教育セクターのサイバーセキュリティを改善するために協力してくれることを必要としている。」
Companies that sign the pledge are publicly agreeing to adopt three principles: 誓約書に署名した企業は、3つの原則を採用することに公的に同意したことになる:
・Take ownership of customer security outcomes ・顧客のセキュリティ成果のオーナーシップを持つ
・Embrace radical transparency and accountability ・抜本的な透明性と説明責任を受け入れる
・Lead from the top by making secure technology a key priority for company leadership ・セキュアな技術を企業リーダーシップの重要な優先事項とすることで、トップが主導する。
The pledge includes specific, publicly measurable outcomes that the companies are committing to as they develop their roadmaps toward adhering to Secure by Design principles. この誓約には、セキュア・バイ・デザインの原則を遵守するためのロードマップを策定する際に各社が約束する、公に測定可能な具体的な成果が含まれている。
Learn more about this voluntary pledge and sign it today by visiting: cisa.gov/k-12-education-technology-secure-design-pledge. この自主的な誓約の詳細と署名は、cisa.gov/k-12-education-technology-secure-design-pledgeを参照のこと。

 

 

K-12 Education Technology Secure by Design Pledge

 

K-12 Education Technology Secure by Design Pledge K-12教育テクノロジー セキュア・バイ・デザイン誓約
Overview 概要
This is a voluntary pledge for K-12 Education Technology software manufacturers, in line with CISA’s Secure by Design whitepaper. By participating in this pledge, manufacturers are pledging publicly to the following actions: これは、CISAのホワイトペーパー「Secure by Design」に沿った、K-12教育テクノロジ・ソフトウェア製造業者のための自主的な誓約である。この誓約に参加することで、メーカーは以下の行動を公に誓約することになる:
Principle 1: Take Ownership of Customer Security Outcomes 原則1:顧客のセキュリティ成果のオーナーシップを持つ
Single Sign On (SSO) at no extra charge. As SSO can enable greater security by reducing password-based attacks, manufacturers should allow all customers to configure standards-based SSO. シングルサインオン(SSO)を追加料金なしで提供する。SSOはパスワードベースの攻撃を減らすことでより高いセキュリティを可能にするため、メーカーはすべての顧客が標準ベースのSSOを設定できるようにすべきである。
Goal: no later than 6 months after the summit, customers may configure standards-based SSO at no additional charge. 目標:サミット後 6 カ月以内に、顧客は追加料金なしで標準ベースの SSO を構成できるようにする。
Security audit logs at no extra charge. Security audit logs necessary for monitoring and responding to cybersecurity incidents should be provided at no additional charge to schools. セキュリティ監査ログを追加料金なしで提供する。サイバーセキュリティインシデントの監視と対応に必要なセキュリティ監査ログを、学校に追加料金なしで提供すること。
Goal: no later than 6 months after the summit, security audit logs are provided to customers at no additional charge. 目標:サミット後6カ月以内に、セキュリティ監査ログを追加料金なしで顧客に提供する。
Principle 2: Embrace Radical Transparency and Accountability 原則 2:抜本的な透明性と説明責任を受け入れる
Publish a Secure by Design roadmap. Document how you are making changes to your SDLC to improve customer security, including actions taken to eliminate entire classes of vulnerabilities (e.g. by usage of memory-safe languages, parametrized queries, and web template frameworks). Include detail on how you are updating your hiring, training, code review, and other internal development processes to do so. The roadmap should also outline how the manufacturer plans to nudge all users, including students, towards MFA, with the understanding that students may not possess a mobile device traditionally used for MFA (other authentication options, such as passkeys, should be considered). セキュアbyデザインのロードマップを公開する。顧客のセキュリティを改善するために、SDLC にどのような変更を加えているかを文書化する。そのために、採用、トレーニング、コードレビュー、その他の内部開発プロ セスをどのように更新しているかについても詳述する。ロードマップには、学生が従来 MFA に使用されてきたモバイルデバイスを所持していない可能性があること を理解した上で、学生を含むすべてのユーザを MFA に誘導する計画についても概説すること(パス キーなど他の認証オプションも考慮すること)。
Goal: no later than 6 months after the summit, the Secure by Design roadmap is published on the manufacturer’s website. 目標:遅くともサミット後 6 カ月以内に、Secure by Design のロードマップを製造事業者の Web サイトで公表する。
Publish a vulnerability disclosure policy. Publish a vulnerability disclosure policy that (1) authorizes testing against all products offered by the manufacturer, (2) provides legal safe harbor that authorizes testing under the policy, and (3) allows public disclosure of vulnerabilities after a set timeline. Manufacturers should perform root-cause analysis of discovered vulnerabilities and, to the greatest extent feasible, take actions to eliminate root cause vulnerability classes in line with the Secure by Design roadmap. 脆弱性開示方針を公表する。(1)メーカーが提供する全製品に対するテストを許可し、(2)ポリシーに基づくテストを許可する法的セーフハーバーを提供し、(3)設定されたタイムライン後に脆弱性の公開を許可する脆弱性公開ポリシーを公表する。メーカーは、発見された脆弱性の根本原因分析を実施し、可能な限り、セキュア・バイ・デザインのロードマップに沿って、根本原因である脆弱性クラスを排除するための措置を講じるべきである。
Goal: no later than 3 months after the summit, the manufacturer has published a vulnerability disclosure policy on its website that adheres to the above criteria. 目標:遅くともサミットから3ヵ月後までに、メーカーは上記の基準に準拠した脆弱性開示方針をウェブサイトで公表している。
Embrace vulnerability transparency. Ensure that product CVE entries are correct and complete, including a CWE field that identifies the root cause of the vulnerability. 脆弱性の透明性を受け入れる。脆弱性の根本原因を特定するCWEフィールドを含め、製品のCVEエントリが正確かつ完全であることを保証する。
Goal: no later than 3 months after the summit, all new CVEs published by the manufacturer include complete details on the vulnerability and have a properly-assigned CWE tag for the vulnerability’s root cause. 目標:遅くともサミット後3ヶ月以内に、メーカーが公表するすべての新規CVEに脆弱性の完全な詳細が含まれ、脆弱性の根本原因を示すCWEタグが適切に付与されている。
Publish security-relevant statistics and trends. This may include aggregated statistics of MFA adoption of customers and administrators, and use of unsafe legacy protocols. セキュリティ関連の統計や傾向を公表する。これには、顧客や管理者の MFA 導入状況や、安全でないレガシー・プロトコルの使用状況などの集計統計が含まれる。
Goal: no later than 6 months after the summit, security statistics and trends are published on the manufacturer’s website. 目標:サミット後 6 カ月以内に、セキュリティ統計と傾向 を製造事業者のウェブサイトで公表する
Principle 3: Lead from the Top 原則 3:トップが主導する
Publicly name a top business leader (not the CTO or CISO) who is responsible for security. This individual should be responsible for managing the process of integrating security and quality as a core function of the business, including the development and implementation of the Secure by Design roadmap. セキュリティ担当のトップビジネスリーダー(CTO や CISO ではない)を 公表する。この人物は、「セキュア バイ デザイン」ロードマップの策定と実施など、セキュリ ティと品質を事業の中核機能として統合するプ ロセスを管理する責任を負うべきである。
Goal: no later than 3 months after the summit, the manufacturer has publicly named a top business leader responsible for security. 目標:サミットから 3 カ月後までに、セキュリティ担当のトップ ビジネスリーダーを公表する

|

« EU 欧州保険・企業年金監督局 (EIOPA) サイバーリスクに関する保険ストレステストの方法論的原則に関する文書 (2023.07.11) | Main | NIST IR 8408 ステーブルコイン技術と関連するセキュリティ上の考慮事項の理解 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« EU 欧州保険・企業年金監督局 (EIOPA) サイバーリスクに関する保険ストレステストの方法論的原則に関する文書 (2023.07.11) | Main | NIST IR 8408 ステーブルコイン技術と関連するセキュリティ上の考慮事項の理解 »