米国 CISA テクノロジー企業68社がセキュア・バイ・デザインの誓約をしたと発表していますね...(2024.05.08)

こんにちは、丸山満彦です。

米国のCISAが、テクノロジー企業68社がセキュア・バイ・デザインの誓約をしたと発表していますね...

68社ですから、私がしっている主要なテクノロジー企業は全て入っているのではないかと思います...

 

● Cybersecurity & Infrstracture Security Agency; CISA

プレス...

・2024.05.08 CISA Announces Secure by Design Commitments from Leading Technology Providers

 

CISA Announces Secure by Design Commitments from Leading Technology Providers	CISA、大手技術プロバイダによるセキュア・バイ・デザインの誓約を発表
WASHINGTON – Today, the Cybersecurity and Infrastructure Security Agency (CISA) announced voluntary commitments by 68 of the world’s leading software manufacturers to CISA’s Secure by Design pledge to design products with greater security built in.	ワシントン - 本日、サイバーセキュリティ・インフラセキュリティ庁（CISA）は、世界有数のソフトウェア製造事業者 68 社が、CISA の「セキュア・バイ・デザイン（Secure by Design）」誓約に自発的に取り組み、より高いセキュリティを組み込んだ製品を設計することを発表した。
“More secure software is our best hope to protect against the seemingly never-ending scourge of cyberattacks facing our nation. I am glad to see leading software manufacturers recognize this by joining us at CISA to build a future that is more secure by design,” CISA Director Jen Easterly said. “I applaud the companies who have already signed our pledge for their leadership and call on all software manufacturers to take the pledge and join us in creating a world where technology is safe and secure right out of the box.”	CISAのディレクターであるジェン・イースタリー氏は、 次のように述べた。「より安全なソフトウェアは、わが国が直面しているサイバー攻撃の終わりがないように見える惨劇から身を守るための最良の希望である。主要なソフトウェア製造事業者が、設計によってより安全な未来を築くためにCISAに参加し、このことを認識していることをうれしく思う。「すでに誓約書に署名した企業のリーダーシップに拍手を送るとともに、すべてのソフトウェア製造事業者が誓約書に署名し、箱から出してすぐに技術が安全でセキュアな世界を実現するために、われわれと一緒に参加するよう呼びかける」。
A list of the 68 companies, including leading software manufacturers, participating in the pledge can be found at the Secure by Design Pledge page, and statements of support for the pledge can be read here.	この誓約に参加している大手ソフトウェアメーカーを含む68社のリストは、Secure by Design Pledgeのページで見ることができる。
By catalyzing action by some of the largest technology manufacturers, the Secure by Design pledge marks a major milestone in CISA’s Secure by Design initiative. Participating software manufacturers are pledging to work over the next year to demonstrate measurable progress towards seven concrete goals. Collectively, these commitments will help protect Americans by securing the technology that our critical infrastructure relies on.	セキュア・バイ・デザイン誓約は、CISAのセキュア・バイ・デザイン・イニシアチブの重要なマイルストーンとなる。参加するソフトウェア製造事業者は、7つの具体的な目標に向けて測定可能な進捗を実証するため、今後1年間取り組むことを誓約している。これらの誓約をまとめることで、重要なインフラが依存する技術を保護し、米国人を守ることができる。
“A more secure by design future is indeed possible. The items in the pledge directly address some of the most pervasive cybersecurity threats we at CISA see today, and by taking the pledge software manufacturers are helping raise our national cybersecurity baseline,” CISA Senior Technical Advisor Jack Cable said. “Every software manufacturer should recognize that they have a responsibility to protect their customers, contributing to our national and economic security. I appreciate the leadership of those who signed on and hope that every technology manufacturer will follow suit.”	CISA上級技術顧問のジャック・ケーブル氏は、 次のように述べた。「より安全な設計による未来は確かに可能である。この誓約書の項目は、CISAが今日目にしている最も広範なサイバーセキュリティの脅威のいくつかに直接対処するものであり、ソフトウェア製造事業者は、この誓約書に署名することで、国のサイバーセキュリティの基準値を引き上げる手助けをすることになる。すべてのソフトウェア製造事業者は、自社の顧客を保護し、国家と経済の安全保障に貢献する責任があることを認識すべきである。私は、署名した人々のリーダーシップに感謝するとともに、すべての技術製造者がこれに続くことを望んでいる。」
The seven goals of the pledge are:	誓約の7つの目標は以下の通りである：
・Multi-factor authentication (MFA). Within one year of signing the pledge, demonstrate actions taken to measurably increase the use of multi-factor authentication across the manufacturer’s products.	・多要素認証（MFA）：多要素認証（MFA）。誓約書に署名してから1年以内に、製造事業者の製品全体で多要素認証の利用を測定可能なほど増やすための行動を実証する。
・Default passwords. Within one year of signing the pledge, demonstrate measurable progress towards reducing default passwords across the manufacturers’ products.	・デフォルトパスワード：誓約書に署名してから 1 年以内に、製造事業者全体でデフォルトパスワードの削減に向けて測定可能な進捗を示す。
・Reducing entire classes of vulnerability. Within one year of signing the pledge, demonstrate actions taken towards enabling a significant measurable reduction in the prevalence of one or more vulnerability classes across the manufacturer’s products.	・脆弱性のクラス全体の削減：誓約書署名から1年以内に、製造事業者製品全体で1つ以上の脆弱性クラスの普及を測定可能なほど大幅に削減することを可能にするために取られた行動を実証する。
・Security patches. Within one year of signing the pledge, demonstrate actions taken to measurably increase the installation of security patches by customers.	・セキュリティパッチの適用：誓約書署名後 1 年以内に、顧客によるセキュ リティパッチのインストールを測定可能な程 増加させるために取られた行動を示す。
・Vulnerability disclosure policy. Within one year of signing the pledge, publish a vulnerability disclosure policy (VDP) that authorizes testing by members of the public on products offered by the manufacturer, commits to not recommending or pursuing legal action against anyone engaging in good faith efforts to follow the VDP, provides a clear channel to report vulnerabilities, and allows for public disclosure of vulnerabilities in line with coordinated vulnerability disclosure best practices and international standards.	・脆弱性開示の方針：誓約書に署名してから 1 年以内に、脆弱性開示方針（VDP）を公表する。この方針は、製造事 業者が提供する製品について一般ユーザーによるテストを認可し、VDP に従 う誠実な取り組みを行う者に対して法的措置を推奨または追求しないことを約束し、 脆弱性を報告するための明確なチャネルを提供し、調整された脆弱性開示のベストプラク ティスと国際標準に沿った脆弱性の一般公開を可能にするものである。
・CVEs. Within one year of signing the pledge, demonstrate transparency in vulnerability reporting by including accurate Common Weakness Enumeration (CWE) and Common Platform Enumeration (CPE) fields in every Common Vulnerabilities and Exposures (CVE) record for the manufacturer’s products. Additionally, issue CVEs in a timely manner for, at minimum, all critical or high impact vulnerabilities (whether discovered internally or by a third party) that either require actions by a customer to patch or have evidence of active exploitation.	・CVE：誓約書に署名してから1年以内に、製造事業者の製品に関するすべての共通脆弱性一覧表（Common Weakness Enumeration：CWE）および共通プラットフォーム一覧表（Common Platform Enumeration：CPE）フィールドを、すべての共通脆弱性一覧表（Common Vulnerabilities and Exposures：CVE）に正確に含めることにより、脆弱性報告の透明性を実証する。さらに、顧客によるパッチ適用が必要な、または悪用された形跡がある、重要または影響度の高い脆弱性（社内またはサードパーティによって発見されたものであるかを問わない）については、少なくともすべて適時にCVEを発行すること。
・Evidence of intrusions. Within one year of signing the pledge, demonstrate a measurable increase in the ability for customers to gather evidence of cybersecurity intrusions affecting the manufacturer’s products.	・侵入の証拠：誓約書に署名してから1年以内に、製造事業者の製品に影響を及ぼすサイバーセキュリティ侵入の証拠を収集する顧客の能力が測定可能なほど向上していることを実証する。
Each goal has core criteria which manufacturers are committing to work towards, in addition to context and example approaches to achieve the goal and demonstrate measurable progress. To enable a variety of approaches, software manufacturers participating in the pledge have the discretion to decide how best they can meet and demonstrate the core criteria of each goal, but progress should be demonstrated in public.	各目標には、製造事業者が取り組むことを約束する中核的な基準に加え、目標を達成し、測定可能な進捗を実証するための背景やアプローチ例が示されている。多様なアプローチを可能にするため、誓約に参加するソフトウェア製造事業者は、各目標の中核的基準を満たし、実証するための最善の方法を決定する裁量権を有するが、進捗状況は公開の場で実証されるべきである。
CISA’s global Secure by Design initiative, launched last year, implements the White House’s National Cybersecurity Strategy by shifting the cybersecurity burden away from end users and individuals to technology manufacturers who are most able to bear it. CISA urges software manufacturers to review CISA’s Secure by Design guidance and Secure by Design alerts to build security into their products.	昨年開始されたCISAのグローバルな「セキュア・バイ・デザイン」イニシアチブは、サイバーセキュリティの負担をエンドユーザーや個人から、最も負担能力のある技術製造者に移すことで、ホワイトハウスの国家サイバーセキュリティ戦略を実施するものである。CISAは、ソフトウェア製造事業者に対し、CISAのSecure by DesignガイダンスとSecure by Designアラートを確認し、自社製品にセキュリティを組み込むよう促している。

 

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

セキュア・バイ・デザイン（セキュリティ・バイ・デザイン）が表題にあるもの...

・2023.10.18 Five Eyes、ドイツ、オランダ、ノルウェー、韓国、イスラエル、日本、シンガポール、チェコ他 セキュア・バイ・デザイン原則の改訂

・2023.09.08 米国 CISA 幼稚園から高校まで (K-12) への教育ソフト開発会社とセキュア・バイ・デザインの誓約をかわす (2023.09.05)

・2023.04.15 CISA他 サイバーセキュリティリスクのバランスを変える：セキュリティ・バイ・デザインとセキュリティ・バイ・デフォルトの原則とアプローチ

・2022.06.03 英国 防衛省 セキュア・バイ・デザイン要求