今月はじめ、ホワイトハウスは国家サイバーセキュリティ戦略を発表し、政府首脳部がデジタルインタラクションの保護に焦点を当てていくという姿勢を示しました。重要インフラに対する最近の攻撃でもわかるように、現実世界に実質的な影響を及ぼしていることを鑑みた対応です。
デジサートは、このような問題が検討されていることを歓迎します。これまでも、ホワイトハウス戦略が取り組んでいる多くの分野で、デジタルトラストの確立の必要性を長年支持してきました。今回は、この戦略から私が得たいくつかの趣旨と、製品開発者が今後念頭に置くべきことをお伝えします。
国家サイバーセキュリティ戦略の重要なポイントのひとつは、サイバーセキュリティの責任を主に開発者とメーカーに置いていることです。
今回の戦略に関するホワイトハウスのファクトシートには、こう記されています。「我々はサイバースペースを守る責任を再分配しなければならない。そのためには、サイバーセキュリティの負担を個人や中小企業、地方自治体から、大きな権限を持ち、かつ我々全員にとってのリスクを軽減できる最適な立場にある組織に移さねばならない」
私は以前、サイバーセキュリティは共有の責任であり、購入した製品のセキュリティを自らが引き受ける権利を消費者に付与すべきだということをお伝えしました。しかし、個人は依然として一定の責任を負っており、MFA、安全な Wi-Fi、パスワードのローテーションといったベストプラクティスを利用せざるをえません。
しかし、サイバーセキュリティに対する責任の大部分は開発者とメーカーが負うべきです。デジタルトラストを実装するうえで「大きな権限を持ち、かつ最適な立場にある」からであり、デジタルトラストは業界の成熟に伴ってますます明白になっているからです。
セキュリティの責任に関するこのような議論を聞くと、私のような世代だと、シートベルトが任意だった時代を思い出しますが、今ではそれも乗客の安全のために法律で義務化されています。あらゆる重要インフラにソフトウェアが搭載されている今、製造プロセスにおいてセキュリティを後回しにするという選択肢はもはやありません。メーカー各社は、製品やソフトウェアの開発全体に大前提としてセキュリティが組み込まれるよう万全を期す必要があります。そうでなければ、脆弱性に関する責任を問われかねません。
たとえるなら、製品の安全性をテストせず、その情報も共有しないメーカーから車を買うようなリスクを冒すでしょうか、ということです。あるいは、設計と試験の段階で安全性を考慮されていない新薬だったらどうでしょうか。セキュア・バイ・デザインではない製品を買いたがらないのであれば、自宅やオフィス、車で使う、あるいは着けるかもしれない IoT デバイスも同じように考えるべきです。
自動車メーカーや医薬品メーカーが自社製品に責任を負っているように、スマートな重要インフラの設計と製造に携わる開発者やメーカー各社も、デバイスやコード、それらのデバイスで収集保存されるデータのセキュリティについて責任を負うべきだと私は考えています。
米国でその責任がどのような形になるかはまだ決まっていませんが、金銭的な影響は避けられないでしょう。また、メーカー各社はそれに備え、先手を打つ必要があることも明らかです。企業は、自社のソフトウェアに対するデジタルトラストを高め、サイバーセキュリティに対して今まで以上の責任を負うことが急務となってきました。
他の市場でも、メーカーに責任を問う同様の規制がさらに進む傾向が見られるようになっています。たとえば、欧州サイバーレジリエンス法案は、IoT デバイスメーカーの責任を強化しており、コンプライアンス違反に対する罰則や巨額の罰金が予想されます。同法案によって、消費者の側ではデバイスに関する購買力と信頼が向上し、購入するもののセキュリティについて透明性も高くなります。
ホワイトハウスは、IoT セキュリティラベルについても次のように述べています。「IoT セキュリティラベルの拡大を通じて、消費者は IoT 製品ごとに提供されるサイバーセキュリティ保護を比較できるようになるので、IoT エコシステム全体でセキュリティの向上を図る市場インセンティブが生まれる」 IoT セキュリティラベルに関しては、シンガポール、フィンランド、EU など複数の国や地域で取り組みが進んでいます。デバイスのセキュリティ情報を開示するラベルが普及すれば、食品の栄養表示と同じように、消費者はさらに、十分な情報を得て購入できるようになります。
このように、ソフトウェアと IoT の開発に関する規制を法制化しようという各国政府に共通して見られる動きは当然のものです。理想的には、信頼できるグローバルサプライチェーンが生まれ、国家サイバーセキュリティ戦略に記されているように、「志を同じくする各国が共同で準備、対応、コスト賦課を通じてデジタルエコシステムへの脅威に対抗する」世界が実現するはずです。
ホワイトハウスの今回の戦略は、デジタルトラスト、つまり私たちのデジタルインタラクションが安全であると保証することが、かつてないほど明確になってきたときに発表されました。インターネットの進化に伴って、脅威の現状も変化しています。今回の戦略では、こうも述べられています。「我々は、次世代通信や IoT から分散型のエネルギー資源まで新世代のデジタルインフラを構築しており、人工知能や量子コンピュータが技術環境にもたらす革命的変化に備えている。そうしたなかで、この投資ギャップに対処する必要性はより緊急性を増している」
残念ながら、IoT デバイスに関しては、セキュリティが後回しになることがあまりにも普通でした。メーカーは製品を市場に出すことを強く求められ、結果的に、脆弱性だらけの残念なデバイスやソフトウェアが世に送り出されているのです。そのうえ、脅威は進化し続けており、AI や耐量子コンピュータといった最新技術を使った攻撃者のツールは今後さらに増えていくでしょう。
そうなると、コネクテッド製品の設計、製造、テスト、配備、運用のしかたに大前提としてセキュリティを組み込むことが必要になります。責任の所在を移す今回の規制は、製品の設計にセキュリティを組み込まない開発者やメーカーの責任を問う態勢に向けた大きな一歩です。
デジサートが提供するソリューションでは、開発者がソフトウェアやデバイスの信頼性を管理することが前提になっています。DigiCert® Software Trust Manager は、ソフトウェア脆弱性スキャンとソフトウェア署名に関するプロセスの始動と管理を支援します。Software Trust Manager は、ソフトウェアサプライチェーン全体でソフトウェアの完全性を保護するデジタルトラストソリューションです。コード危殆化のリスクを低減し、企業や規制のポリシーを実施して、コードサイニングにおけるきめ細かな鍵使用とアクセス制御を実現します。コードのスキャン、権利およびアクセス管理、鍵ローテーションといったコードサイニング上のベストプラクティスを保証する柔軟で拡張性のある方法が提供されます。
DigiCert® Device Trust は、IoT のための多様なデジタルトラストプラットフォームを提供し、組織がグローバルにデバイストラストを確立、拡張、維持することを可能にします。Device Trust は、DigiCert® IoT Trust Manager と DigiCert® Embedded Trust Manager を統合ポートフォリオにまとめたものです。
IoT Trust Manager は、接続された IoT デバイスに認証、暗号化、および完全性を提供して、あらゆるデバイス上の ID を管理する自動化ソリューションです。デバイス ID の埋め込みと管理を大規模に行い、幅広い証明書タイプと申請方式をサポートしており、あらゆるセキュリティニーズに応えつつ、コネクテッドデバイスマーケットのフォームファクタに対応しています。
Embedded Trust Manager は、デバイスのライフサイクルにおけるセキュリティ管理の複雑さを軽減するので、お客様は複雑な社内セキュリティアプリケーションの構築を回避できます。
しかも、Software Trust Manager と Device Trust は、デジタルトラストのプラットフォームである DigiCert® ONE に構築されており、厳格な要件、カスタム統合、エアギャップのニーズに応じて、オンプレミス、国内、クラウドで展開することが可能です。堅牢で拡張性の高いインフラを使用して、大量の証明書を迅速に発行できます。
政府がサイバーレジリエンスの高い未来を築くうえで必要な、さらに積極的なアプローチをとろうとしている姿勢に拍手を送りたいと思います。一方、開発者の側では、きたるべき規制に備えるためにも、今すぐ現在の姿勢を見直す必要があります。