英国 ソフトウェアセキュリティ大使制度 (2026.01.15) でソフトウェアセキュリティ実践規範の推進
こんにちは、丸山満彦です。
2026.01.06に政府サイバー行動計画を公表していますね...その行動計画では、ソフトウェアとデジタルサプライチェーン(SolareWindsなど)の安全性向上の重要性がいわれていて、その実現のためにはSoftware Security Code of Practice の普及・実装が重要ということなのですが、それを推進していくのが、ソフトウェアセキュリティ大使制度ということですかね...
コンサル会社、セキュリティ製品ベンダー、ISACA、ISC2、銀行などがソフトウェアセキュリティ大使制度に参加していますね...
● GOV.UK
・2026.01.15 Software Security Ambassadors Scheme
| Software Security Ambassadors Scheme | ソフトウェアセキュリティ大使制度 |
| A scheme to champion secure software development and support a resilient cyber ecosystem. | 安全なソフトウェア開発を推進し、強靭なサイバーエコシステムを支援する制度である。 |
| Details | 詳細 |
| The Software Security Ambassador Scheme has been developed to help drive adoption of the Software Security Code of Practice, a voluntary set of principles designed to reduce software supply chain attacks and disruption, and improve cyber resilience across the economy. | ソフトウェアセキュリティ大使制度は、ソフトウェアセキュリティ行動規範の普及を促進するために開発された。この規範は、ソフトウェアサプライチェーンへの攻撃や混乱を減らし、経済全体のサイバーレジリエンスを向上させることを目的とした自主的な原則集である。 |
| Software underpins the economy as a core component of all technologies that businesses rely on. Yet weaknesses in software can cause severe disruption to supply chains and the essential services the public use every day, with more than half (59%) of organisations experiencing software supply chain attacks in the past year. +B2 | ソフトウェアは、企業が依存するあらゆる技術の中核的構成要素として経済を支えている。しかしソフトウェアの脆弱性は、サプライチェーンや国民が日常的に利用する重要サービスに深刻な混乱をもたらす可能性があり、過去1年間に組織の半数以上(59%)がソフトウェアサプライチェーン攻撃を経験している。 |
| These issues can be addressed by embedding basic software security practices across the software market - as set out in the the Software Security Code of Practice. | これらの課題は、ソフトウェアセキュリティ行動規範に定められた基本的なソフトウェアセキュリティ慣行をソフトウェア市場全体に組み込むことで対処できる。 |
| The Software Security Ambassadors scheme was announced on 6 January 2026 as part of the launch of the Government Cyber Action Plan. | ソフトウェアセキュリティ大使制度は、政府サイバー行動計画の発表の一環として2026年1月6日に公表された。 |
| Read the press notice. | プレスリリースを参照のこと。 |
| A range of industry parters (see full list below) have agreed to work with the government as the scheme’s ambassadors, championing the Software Security Code of Practice across sectors, showcasing practical implementation, and providing feedback to inform future policy improvements. | 多様な業界パートナー(下記参照)が政府と連携し、本制度の大使として各分野でソフトウェアセキュリティ行動規範を推進し、実践的な導入事例を提示し、今後の政策改善に向けたフィードバックを提供する。 |
| This scheme is part of the government’s wider work to improve UK cyber resilience and grow a secure and prosperous digital economy. | 本制度は、英国のサイバーレジリエンス向上と安全で繁栄するデジタル経済の育成を目指す政府の包括的取り組みの一環である。 |
・2026.01.15 Software Security Ambassadors Scheme
| Software Security Ambassadors Scheme | ソフトウェアセキュリティ大使制度 |
| Championing secure software development for a resilient cyber ecosystem | レジリエンスのあるサイバーエコシステムのための安全なソフトウェア開発を推進する |
| Software Security Ambassadors Scheme | ソフトウェアセキュリティ大使制度 |
| This is a commitment by the Department for Science, Innovation and Technology, the National Cyber Security Centre and signatory organisations to work together to endeavour to promote best practices in secure software development and to strengthen digital supply chains by improving transparency and facilitating risk management. | これは科学技術革新省、国家サイバーセキュリティセンター及び署名組織が共同で取り組む約束である。安全なソフトウェア開発におけるベストプラクティスの促進、透明性の向上とリスクマネジメントの促進によるデジタルサプライチェーンの強化を目指す。 |
| Organisations that sign up to this Scheme are committing to become Ambassadors of the Software Security Code of Practice. They will role model the implementation of the code, champion awareness of the Code, encourage its adoption, and showcase and exchange information on their real-world success stories and use cases. | 本スキームに署名する組織は、ソフトウェアセキュリティ行動規範の大使となることを約束する。規範の実施を模範的に示し、規範の認知度向上を推進し、その採用を奨励するとともに、実世界の成功事例やユースケースに関する情報を展示・交換する。 |
| The Software Security Code of Practice is one of a series of Codes of Practice developed by the UK government to set clear expectations to help improve cyber security. These Codes, and the UK government’s Cyber Essentials scheme, set out good practices to reduce cyber security risks which are not being sufficiently addressed by industry. Organisations ideally should implement all applicable DSIT codes of practice as a minimum, but organisations signatory to this document are acting specifically as exemplars for the implementation of the Software Security Code of Practice. They have contributed to the development of this policy and are committed to endeavouring to promote the Code within relevant industries. | ソフトウェアセキュリティ行動規範は、サイバーセキュリティ向上を支援するため明確な期待値を設定するべく英国政府が策定した一連の行動規範の一つである。これらの規範と英国政府の「サイバーエッセンシャルズ」スキームは、業界で十分に対処されていないサイバーセキュリティリスクを低減するための優良事例を示すものである。組織は理想的には、適用可能なすべてのDSIT規範を最低限実施すべきであるが、本文書に署名する組織は特に「ソフトウェアセキュリティ規範」の実施における模範として行動する。彼らは本政策の策定に貢献し、関連業界内で規範を推進するよう努めることを約束している。 |
| By acting as ambassadors, signatories are committing to a process of transparency, development and continuous improvement. The implementation of this code of practice will take time and, in doing so, may bring to light issues that need to be addressed. Signatories and policymakers will learn from these issues as well as the successes and challenges for each organisation and, where appropriate, will share information to help develop and strengthen this government policy. | 大使としての役割を果たすことで、署名組織は透明性、発展、継続的改善のプロセスに取り組むことを約束する。この実践規範の実施には時間がかかり、その過程で対処すべき問題が明らかになる可能性がある。署名団体と政策立案者は、各組織の成功事例や課題、そしてこれらの問題点から学び、必要に応じて情報を共有し、本政府政策の発展と強化に寄与する。 |
| Ambassadors include software vendors, organisations that procure software and organisations that act as expert advisors. Depending on their roles, these organisations agree to endeavour to lead by example in their development and sales practices, in their procurement and supplier management practices, or by promoting these measures in an advisory capacity. | 大使には、ソフトウェアベンダー、ソフトウェア調達組織、専門アドバイザー組織が含まれる。役割に応じて、これらの組織は開発・販売慣行、調達・サプライヤー管理慣行において模範を示すこと、あるいは助言者としてこれらの施策を推進することに努めることに合意する。 |
| The Scheme aligns with the government’s Plan for Change by ensuring a more resilient economy where we can safely benefit from digital technologies that are ‘secure by design’ and accessible to all. By better securing supply chains, these measures will help to give businesses confidence in the technologies they need to operate and innovate, helping to prevent costly incidents and supporting growth across all our sectors. | 本スキームは政府の「変革計画」に沿い、「設計段階から安全性を考慮した」デジタル技術を安全に活用し、全ての人々がアクセス可能な、よりレジリエントな経済の実現を保証する。サプライチェーンの安全性を高めることで、企業は事業運営と革新に必要な技術に確信を持てるようになり、高額なインシデントの防止と全セクターの成長支援につながる。 |
| Following best practice on secure software development makes digital ecosystems better placed to prevent the most common types of cyber-attacks and better withstand cyber incidents. Companies that develop and sell software should embed security into their practices at all stages of the software lifecycle, from development, through deployment, to ongoing maintenance, and should be transparent in the communication of risk and incident management to customers. Organisations procuring software will benefit from increased trust and confidence in the digital technologies and services that help them innovate and grow. | セキュアなソフトウェア開発のベストプラクティスに従うことで、デジタルエコシステムは最も一般的なサイバー攻撃を防止し、サイバーインシデントに耐える能力を高められる。ソフトウェアを開発・販売する企業は、開発から展開、継続的な保守に至るソフトウェアライフサイクルの全段階でセキュリティを実践に組み込み、リスクマネジメントやインシデント対応について顧客に透明性を持って伝えるべきだ。ソフトウェアを調達する組織は、自社の革新と成長を支えるデジタル技術やサービスに対する信頼と確信を高められる。 |
| The public commitment | 公約 |
| My organisation makes a public commitment to achieve the following objectives in one year: | 当組織は、以下の目標を1年以内に達成することを公に約束する: |
| All signatories | 全署名組織 |
| Promote the Software Security Code of Practice on our social media, websites and, where possible, at NCSC/DSIT events. | ソーシャルメディア、ウェブサイト、可能な場合はNCSC/DSITイベントにおいて、ソフトウェアセキュリティ実践規範を推進する。 |
| Endeavor to showcase real-world success stories and use cases on our journey to achieve the below objectives and implementing the Software Security Code of Practice in our organisation and supply chains. | 下記目標の達成と、組織及びサプライチェーンにおけるソフトウェアセキュリティ実践規範の実施に向けた取り組みにおいて、実世界の成功事例とユースケースを積極的に紹介する。 |
| Reflect on incidents and lessons-learned to inform continuous improvement of organisational practices and government policy (where appropriate). | インシデントと教訓を検証し、組織の実践と政府政策(適切な場合)の継続的改善に反映させる。 |
| Software suppliers | ソフトウェア供給者 |
| Appoint a Senior Responsible Owner to hold accountability for the implementation of the Software Security Code of Practice. | ソフトウェアセキュリティ実践規範の実施責任を担う上級責任者を任命する。 |
| Complete and publish the self-assessment form or third party verification to demonstrate compliance with the principles of the Software Security Code of Practice. | 自己評価フォームまたはサードパーティ検証を完了・公開し、ソフトウェアセキュリティ実践規範の原則への準拠を証明する。 |
| Put in place measures to ensure relevant teams develop the necessary skills and expertise on secure software development and provide access to appropriate learning and development opportunities. | 関連チームがセキュアなソフトウェア開発に必要なスキルと専門知識を習得できるよう対策を講じ、適切な学習・開発機会へのアクセスを提供する。 |
| [If a DSP/ consultant] Encourage clients and collaborators to adopt the Software Security Code of Practice and embed the principles of the Code into software developed collaboratively. | [DSP/コンサルタントの場合] クライアントや協力者にソフトウェアセキュリティ行動規範の採用を促し、共同開発ソフトウェアに規範の原則を組み込む。 |
| Software buyers | ソフトウェア購入者 |
| Incorporate the Software Security Code of Practice into procurement policies and procedures for supplier management of our software suppliers. | ソフトウェアプロバイダの管理に関する調達方針・手順にソフトウェアセキュリティ行動規範を組み込む。 |
| Expert advisors | 専門アドバイザー |
| Promote the Software Security Code of Practice through advisory/ educational services and other business. | 助言・教育サービスその他の事業を通じてソフトウェアセキュリティ行動規範を推進する。 |
| If applicable, incorporate the Software Security Code of Practice into requirements for relevant partner organisations. | 該当する場合、関連パートナー組織への要求事項にソフトウェアセキュリティ行動規範を組み込む。 |
2025.05.07に公開された、ソフトウェアセキュリティ行動規範...
・Software Security Code of Practice
| Voluntary Software Security Code of Practice | 自主的なソフトウェアセキュリティ行動規範 |
| The Software Security Code of Practice contains 14 principles split across 4 themes. A Senior Responsible Owner should be appointed at senior leadership level to hold accountability for the principles being followed within their organisations. | ソフトウェアセキュリティ行動規範は、4つのテーマに分けられた14の原則から成る。上級責任者を上級管理職レベルで任命し、組織内でこれらの原則が遵守される責任を負わせるべきである。 |
| 1.Secure design and development | 1. 安全な設計と開発 |
| These principles ensure that the software is appropriately secure when provided. | これらの原則は、ソフトウェアがプロバイダされる際に適切なセキュリティを確保するものである。 |
| The Senior Responsible Owner in vendor organisations shall gain assurance that their organisation achieves the following in relation to any software or software services sold by their organisation: | ベンダー組織における上級責任者は、自組織が販売するソフトウェアまたはソフトウェアサービスに関して、以下の事項を達成していることを保証しなければならない。 |
| 1.1 Follow an established secure development framework. | 1.1 確立されたセキュア開発枠組みに従うこと。 |
| 1.2 Understand the composition of the software and assess risks linked to the ingestion and maintenance of third-party components throughout the development lifecycle. | 1.2 ソフトウェアの構成を理解し、開発ライフサイクル全体を通じてサードパーティ製コンポーネントの導入および保守に関連するリスクを評価すること。 |
| 1.3 Have a clear process for testing software and software updates before distribution. | 1.3 配布前のソフトウェアおよびソフトウェア更新プログラムのテストに関する明確なプロセスを有すること。 |
| 1.4 Follow secure by design and secure by default principles throughout the development lifecycle of the software. | 1.4 ソフトウェアの開発ライフサイクル全体を通じて、設計段階からのセキュリティ確保(Secure by Design)およびデフォルトでのセキュリティ確保(Secure by Default)の原則に従うこと。 |
| 2.Build environment security | 2.ビルド環境のセキュリティ |
| These principles ensure that the appropriate steps are taken to minimise the risk of build environments becoming compromised and protect the integrity and quality of the software. | これらの原則は、ビルド環境が侵害されるリスクを最小限に抑え、ソフトウェアの完全性と品質を防御するための適切な措置が講じられることを保証するものである。 |
| The Senior Responsible Owner in vendor organisations shall gain assurance that their organisation achieves the following in relation to any software or software services sold by their organisation: | ベンダー組織の最高責任者は、自組織が販売するソフトウェアまたはソフトウェアサービスに関して、以下の事項を達成していることを保証しなければならない: |
| 2.1 Protect the build environment against unauthorised access. | 2.1 ビルド環境を不正アクセスから防御する。 |
| 2.2 Control and log changes to the build environment. | 2.2 ビルド環境への変更を管理し、記録する。 |
| 3.Secure deployment and maintenance | 3.安全な展開と保守 |
| These principles ensure that the software remains secure throughout its lifetime, to minimise the likelihood and impact of vulnerabilities. | これらの原則は、ソフトウェアのライフサイクル全体を通じて安全性を維持し、脆弱性の発生確率と影響を最小限に抑えることを保証する。 |
| The Senior Responsible Owner in vendor organisations shall gain assurance that their organisation achieves the following in relation to any software or software services sold by their organisation: | ベンダー組織における最高責任者は、自組織が販売するソフトウェアまたはソフトウェアサービスに関して、以下の事項を達成していることを保証しなければならない: |
| 3.1 Distribute software securely to customers. | 3.1 顧客へのソフトウェアの安全な配布 |
| 3.2 Implement and publish an effective vulnerability disclosure process. | 3.2 効果的な脆弱性開示プロセスの実施と公表 |
| 3.3 Have processes and documentation in place for proactively detecting, prioritising and managing vulnerabilities in software components. | 3.3 ソフトウェアコンポーネントの脆弱性を積極的に検知、優先順位付け、管理するためのプロセスと文書化の実施 |
| 3.4 Report vulnerabilities to relevant parties where appropriate. | 3.4 適切な場合には関係当事者への脆弱性の報告 |
| 3.5 Provide timely security updates, patches and notifications to customers. | 3.5 顧客に対し、タイムリーなセキュリティ更新、パッチ、通知を提供する。 |
| 4.Communication with customers | 4.顧客とのコミュニケーション |
| These principles ensure that vendor organisations provide sufficient information to customers to enable effective risk and incident management. | これらの原則は、ベンダー組織が顧客に十分な情報を提供し、効果的なリスクマネジメントとインシデント管理を可能にすることを保証する。 |
| The Senior Responsible Owner in vendor organisations shall gain assurance that their organisation achieves the following in relation to any software or software services sold by their organisation: | ベンダー組織のシニア・レスポンシブル・オーナーは、自組織が販売するソフトウェアまたはソフトウェアサービスに関して、以下の事項を達成していることを確認しなければならない: |
| 4.1 Provide information to the customer specifying the level of support and maintenance provided for the software being sold. | 4.1 販売するソフトウェアに対するサポートおよび保守のレベルを明記した情報を顧客に提供する。 |
| 4.2 Provides at least 1 year’s notice to customers of when the software will no longer be supported or maintained by the vendor. | 4.2 ベンダーによるソフトウェアのサポートまたは保守が終了する時期について、顧客に対し少なくとも1年前の通知を行う。 |
| 4.3 Make information available to customers about notable incidents that may cause significant impact to customer organisations. | 4.3 顧客組織に重大な影響を及ぼす可能性のある顕著なインシデントに関する情報を顧客が利用できるようにする。 |
・[HTML][PDF] Software Security Code of Practice
● まるちゃんの情報セキュリティ気まぐれ日記
・2026.01.08 英国 政府サイバー行動計画 (2026.01.06)
・2025.11.30 英国 自主的なソフトウェア・セキュリティ行動規範
Comments