米国サイバーセキュリティ・社会基盤安全保障庁(CISA)は、日本を含む国際的な協力のもと、設計開発段階からセキュリティを盛り込むセキュリティ・バイ・デザイン(Secure by Design)のガイダンスを発表しています。利用者の安全を最優先とし、経営者主導のもとで設計段階よりセキュリティを実装して、初期状態でも安全に利用できるようにすることを目指しています。テクノロジー企業やソフトウェア開発者は、透明性を確保するとともに説明責任を果たし、顧客にもたらされたセキュリティの結果の責任を負うこととしています。
- 国際共同ガイダンス「Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Security by Design and Default」に署名しました(10/17 内閣官房内閣サイバーセキュリティセンター:NISC)
- Secure by Design(CISA.gov) セキュア・バイ・デザイン
- AI.gov – AIの米連邦政府サイト(AI活用/AI政策/AI人材/AIスキルほか)
ガイダンスではテクノロジー製品の設計と製造に、サイバー・セキュリティを組み込む時期が来ているとして、「この問題は政府だけでは解決できません。メーカーは消費者の安全を最優先にするという自らの役割を受け入れる必要があります」としています。
<ソフトウェア製品のセキュリティ原則>
1. 「顧客にもたらされるセキュリティの結果に責任を負い」 そのため製品を発展させる。セキュリティの負担は顧客だけが負うのは望ましくない。
2. 「徹底的な透明性と説明責任を受け入れる」 ソフトウェア開発企業は、安全で安心な製品を販売することに誇りを持ち、そのようにできることでソフトウェア開発コミュニティにおける他の開発企業とは差別化することが適当である。
3. 「目標達成のため企業の組織構造および経営層を構築する」 製品の安全には専門知識が重要であるが、組織の変革を実行するのは経営層の主要な意思決定者である。
原則1:顧客にもたらされるセキュリティの結果に責任を負う。
原則2:徹底的な透明性と説明責任を果たす。
原則3:トップ主導で実行する。
2023年10月の本ガイダンスでは、これらの3つの原則について説明、実例と根拠を詳述しています。下記からご覧ください。
- サイバー・セキュリティ・リスクのバランスを変える:セキュア・バイ・デザイン、セキュア・バイ・デフォルトの原則とアプローチ(10/16 仮訳/NIST/PDF形式:674KB)
下記動画では、自動車の安全性を高めてきた米国道路交通安全局(NHTSA)の活動や調査データを例として、ソフトウェア製品の安全性とセキュリティ原則を解説しています。
ソフトウェア開発企業が取るべき行動に加え、顧客もこのガイダンスを活用することができます。ソフトウェア開発企業が、この文書に記載されている原則を遵守している事例から、顧客はベンダーに厳しい質問をすることができます。そうすることで、市場をよりセキュア・バイ・デザインとなる方向にシフトさせることを支援できます。顧客がベンダーに尋ねることができる質問の例は、CISAの
「CISA’s Guidance for K-12 Technology Acquisitions」に示されています。
バイデン政権はAI(人工知能)の安全性を確保するための大統領令を出しました。開発企業に対し、AIの一般公開前に政府による安全性のテストを受けて結果を共有することを義務付け、テストには厳格な基準を導入するとしています。また、偽情報の拡散を防ぐため「電子透かし」と呼ばれる技術などを使って、「AI製」の文章や映像などを識別できるようにする仕組みを導入します。
一方、技術開発の促進に向けてはヘルスケアや気候変動の分野で補助金を拡充するほか、海外の優秀な人材の受け入れを拡大するため、ビザ発給の手続き緩和などを盛り込みました。EUでも規制をめぐる議論が進む中、米国は国際的なルール作りを主導したい考えで、バイデン大統領は「議会にも法案制定を進めてもらう必要がある」としています。