英国 自主的なソフトウェア・セキュリティ行動規範
こんにちは、丸山満彦です。
英国とカナダが共同で5月にソフトウェア・セキュリティ行動規範を公表していたのですが、見逃していました...
NCSCがSoftware Security Code of Practiceのウェブページをつくっているのですが、開発者(Vendors)向け、利用者(Customers) 向けに情報を提供しているので役立つと思います...
● NCSC
・2025.05.07 Software Security Code of Practice
| Software Security Code of Practice | ソフトウェアセキュリティ行動規範 |
| This Code of Practice sets out expectations for the security and resilience of software. | 本行動規範は、ソフトウェアのセキュリティとレジリエンスに関する期待事項を定める。 |
| Details | 詳細 |
| This voluntary Software Security Code of Practice has been developed to improve the security and resilience of software that organisations and businesses rely on. | この自主的なソフトウェアセキュリティ行動規範は、組織や企業が依存するソフトウェアのセキュリティとレジリエンスを向上させるために策定された。 |
| The Software Security Code of Practice will support software vendors and their customers in reducing the likelihood and impact of software supply chain attacks and other software resilience incidents. Often, these kinds of attacks and disruptions are caused by avoidable weaknesses in software development and maintenance practices. The impact of these kinds of incidents can also be exacerbated by poor communication between organisations and their software suppliers. This Code addresses those issues. | 本規範は、ソフトウェアベンダーとその顧客が、ソフトウェアサプライチェーン攻撃やその他のソフトウェアレジリエンスインシデントの発生確率と影響を低減することを支援する。こうした攻撃や障害は、ソフトウェア開発・保守慣行における回避可能な脆弱性が原因となることが多い。また、組織とソフトウェア供給者間の不十分なコミュニケーションが、インシデントの影響を悪化させることもある。本規範はこれらの課題に対処するものである。 |
| This Code - which is co-sealed by the Canadian Centre for Cyber Security - is the product of extensive engagement and has been co-designed with technical experts at the National Cyber Security Centre (NCSC) and a group of industry and academic experts. It was also refined using feedback from a public call for views undertaken from May to August 2024. The government published its response on the code of practice for software vendors in March 2025. | 本規範はカナダサイバーセキュリティセンターとの共同認証を受けており、広範な協議を経て策定された。英国国家サイバーセキュリティセンター(NCSC)の技術専門家、ならびに産業界・学界の専門家グループとの共同設計によるものである。さらに2024年5月から8月にかけて実施した意見募集からのフィードバックを基に精緻化された。政府は2025年3月、ソフトウェアベンダー向け規範への対応を発表した。 |
| The Code consists of 14 principles software vendors are expected to implement to establish a consistent baseline of software security and resilience across the market. | 本規範は、市場全体でソフトウェアのセキュリティとレジリエンスに関する一貫した基準を確立するため、ソフトウェアベンダーが実施すべき14の原則で構成される。 |
| The Code was launched at the CyberUK 2025 event on 7 May 2025 by the Chancellor of the Duchy of Lancaster, Pat McFadden. | 本規範は2025年5月7日、ランカスター公領長官パット・マクファデンによりCyberUK 2025イベントで発表された。 |
| Read the press notice | プレスリリースを読む |
| Read the speech | スピーチを読む |
| The government is monitoring uptake of this Code of Practice and seeking feedback. If you are using the Code of Practice, please fill out the monitoring and evaluation survey. | 政府は本行動規範の採用状況を監視し、フィードバックを求めている。本規範を利用している場合は、モニタリング・評価調査に回答してほしい。 |
| Evaluation survey for the Software Security Code of Practice - GOV.UK | ソフトウェアセキュリティ行動規範評価調査 - GOV.UK |
| The Department for Science, Innovation and Technology (DSIT) and the National Cyber Security Centre (NCSC) have written a joint blog explaining the background to the Software Security Code of Practice. The blog explains the thinking behind the new Code and why technology - including software - needs to be ‘secure by design’. The NCSC has also provided further detail on the Code for developers, vendors and consumers. | 科学技術革新省(DSIT)と国家サイバーセキュリティセンター(NCSC)は、ソフトウェアセキュリティ行動規範の背景を説明する共同ブログを執筆した。このブログでは、新たな行動規範の背景にある考え方と、ソフトウェアを含む技術が「設計段階から安全であること」が必要な理由を説明している。NCSCはまた、開発者、ベンダー、消費者向けに、行動規範に関する詳細情報を提供している。 |
| Read the joint NCSC/DSIT blog on software security | ソフトウェアセキュリティに関するNCSC/DSIT共同ブログを読む |
| See the NCSC pages on the Software Security Code of Practice | ソフトウェアセキュリティ行動規範に関するNCSCのページを参照 |
行動規範の部分だけを取り出すと。。。
・自主的なソフトウェアセキュリティ行動規範
| Voluntary Software Security Code of Practice | 自主的なソフトウェアセキュリティ行動規範 |
| The Software Security Code of Practice contains 14 principles split across 4 themes. A Senior Responsible Owner should be appointed at senior leadership level to hold accountability for the principles being followed within their organisations. | ソフトウェアセキュリティ行動規範は、4つのテーマに分けられた14の原則から成る。上級責任者を上級管理職レベルで任命し、組織内でこれらの原則が遵守される責任を負わせるべきである。 |
| 1.Secure design and development | 1. 安全な設計と開発 |
| These principles ensure that the software is appropriately secure when provided. | これらの原則は、ソフトウェアがプロバイダされる際に適切なセキュリティを確保するものである。 |
| The Senior Responsible Owner in vendor organisations shall gain assurance that their organisation achieves the following in relation to any software or software services sold by their organisation: | ベンダー組織における上級責任者は、自組織が販売するソフトウェアまたはソフトウェアサービスに関して、以下の事項を達成していることを保証しなければならない。 |
| 1.1 Follow an established secure development framework. | 1.1 確立されたセキュア開発枠組みに従うこと。 |
| 1.2 Understand the composition of the software and assess risks linked to the ingestion and maintenance of third-party components throughout the development lifecycle. | 1.2 ソフトウェアの構成を理解し、開発ライフサイクル全体を通じてサードパーティ製コンポーネントの導入および保守に関連するリスクを評価すること。 |
| 1.3 Have a clear process for testing software and software updates before distribution. | 1.3 配布前のソフトウェアおよびソフトウェア更新プログラムのテストに関する明確なプロセスを有すること。 |
| 1.4 Follow secure by design and secure by default principles throughout the development lifecycle of the software. | 1.4 ソフトウェアの開発ライフサイクル全体を通じて、設計段階からのセキュリティ確保(Secure by Design)およびデフォルトでのセキュリティ確保(Secure by Default)の原則に従うこと。 |
| 2.Build environment security | 2.ビルド環境のセキュリティ |
| These principles ensure that the appropriate steps are taken to minimise the risk of build environments becoming compromised and protect the integrity and quality of the software. | これらの原則は、ビルド環境が侵害されるリスクを最小限に抑え、ソフトウェアの完全性と品質を防御するための適切な措置が講じられることを保証するものである。 |
| The Senior Responsible Owner in vendor organisations shall gain assurance that their organisation achieves the following in relation to any software or software services sold by their organisation: | ベンダー組織の最高責任者は、自組織が販売するソフトウェアまたはソフトウェアサービスに関して、以下の事項を達成していることを保証しなければならない: |
| 2.1 Protect the build environment against unauthorised access. | 2.1 ビルド環境を不正アクセスから防御する。 |
| 2.2 Control and log changes to the build environment. | 2.2 ビルド環境への変更を管理し、記録する。 |
| 3.Secure deployment and maintenance | 3.安全な展開と保守 |
| These principles ensure that the software remains secure throughout its lifetime, to minimise the likelihood and impact of vulnerabilities. | これらの原則は、ソフトウェアのライフサイクル全体を通じて安全性を維持し、脆弱性の発生確率と影響を最小限に抑えることを保証する。 |
| The Senior Responsible Owner in vendor organisations shall gain assurance that their organisation achieves the following in relation to any software or software services sold by their organisation: | ベンダー組織における最高責任者は、自組織が販売するソフトウェアまたはソフトウェアサービスに関して、以下の事項を達成していることを保証しなければならない: |
| 3.1 Distribute software securely to customers. | 3.1 顧客へのソフトウェアの安全な配布 |
| 3.2 Implement and publish an effective vulnerability disclosure process. | 3.2 効果的な脆弱性開示プロセスの実施と公表 |
| 3.3 Have processes and documentation in place for proactively detecting, prioritising and managing vulnerabilities in software components. | 3.3 ソフトウェアコンポーネントの脆弱性を積極的に検知、優先順位付け、管理するためのプロセスと文書化の実施 |
| 3.4 Report vulnerabilities to relevant parties where appropriate. | 3.4 適切な場合には関係当事者への脆弱性の報告 |
| 3.5 Provide timely security updates, patches and notifications to customers. | 3.5 顧客に対し、タイムリーなセキュリティ更新、パッチ、通知を提供する。 |
| 4.Communication with customers | 4.顧客とのコミュニケーション |
| These principles ensure that vendor organisations provide sufficient information to customers to enable effective risk and incident management. | これらの原則は、ベンダー組織が顧客に十分な情報を提供し、効果的なリスクマネジメントとインシデント管理を可能にすることを保証する。 |
| The Senior Responsible Owner in vendor organisations shall gain assurance that their organisation achieves the following in relation to any software or software services sold by their organisation: | ベンダー組織のシニア・レスポンシブル・オーナーは、自組織が販売するソフトウェアまたはソフトウェアサービスに関して、以下の事項を達成していることを確認しなければならない: |
| 4.1 Provide information to the customer specifying the level of support and maintenance provided for the software being sold. | 4.1 販売するソフトウェアに対するサポートおよび保守のレベルを明記した情報を顧客に提供する。 |
| 4.2 Provides at least 1 year’s notice to customers of when the software will no longer be supported or maintained by the vendor. | 4.2 ベンダーによるソフトウェアのサポートまたは保守が終了する時期について、顧客に対し少なくとも1年前の通知を行う。 |
| 4.3 Make information available to customers about notable incidents that may cause significant impact to customer organisations. | 4.3 顧客組織に重大な影響を及ぼす可能性のある顕著なインシデントに関する情報を顧客が利用できるようにする。 |
・[HTML][PDF] Software Security Code of Practice
NCSCの
● まるちゃんの情報セキュリティ気まぐれ日記
セキュアバイデザイン (Secure by Design)
・2025.11.07 オーストラリア 取締役会におけるサイバーセキュリティの優先事項 2025-26
・2025.09.08 米国他主要国 サイバーセキュリティのためのソフトウェア部品表(SBOM)に関する共通ビジョン
・2025.09.08 英国 NCSC サイバーアセスメントフレームワーク 4.0 (2025.08.06)
・2025.06.03 米国 CISA他 OTへのサイバー脅威を軽減するための主な緩和策(2025.05.06)
・2025.02.06 Five Eyes + チェコ、日本、韓国、オランダ エッジ・デバイスの安全に関する報告書...
・2024.11.01 米国 オーストラリア 「安全なソフトウェア展開: ソフトウェア製造事業者はどのようにして顧客の信頼性を確保するのか?」 (2024.10.24)
・2024.05.14 米国 CISA テクノロジー企業68社がセキュア・バイ・デザインの誓約をしたと発表していますね...(2024.05.08)
・2023.10.18 Five Eyes、ドイツ、オランダ、ノルウェー、韓国、イスラエル、日本、シンガポール、チェコ他 セキュア・バイ・デザイン原則の改訂
・2023.09.08 米国 CISA 幼稚園から高校まで (K-12) への教育ソフト開発会社とセキュア・バイ・デザインの誓約をかわす (2023.09.05)
・2022.12.10 NIST SP 800-160 Vol. 2 Rev. 1 サイバーレジリエントなシステムの開発:システムセキュリティ・エンジニアリング・アプローチ
・2022.06.10 NIST SP 800-160 Vol.1 Rev.1(ドラフト)信頼性の高いセキュアなシステムのエンジニアリング
・2022.06.03 英国 防衛省 セキュア・バイ・デザイン要求
・2022.02.06 NIST SP 800-218 セキュアソフトウェア開発フレームワーク (SSDF) Version 1.1: ソフトウェアの脆弱性のリスクを軽減するための推奨事項
« 国家サイバー統括室 政府機関等における耐量子計算機暗号(PQC)への移行は原則として2035年を目処に...(2025.11.20) | Main | 中国 国家サイバースペース管理局 意見募集「サイバーセキュリティラベル管理弁法」(2025.11.21) »
Comments