海の向こうの“セキュリティ”
最大手を含む6社が締結、米CISAが幼稚園〜高校向け教育ソフト開発会社と交わしたセキュア・バイ・デザインの誓約の中身
2023年10月5日 11:50
米CISA、K-12教育ソフトウェア開発会社とセキュア・バイ・デザインの誓約
世界中で学校などの教育機関に対するサイバー攻撃が深刻な被害を生んでいる中、米サイバーセキュリティ・インフラセキュリティ庁(Cybersecurity & Infrastructure Security Agency、以降CISA)は、2023年1月にサイバーセキュリティの脅威からK-12組織(幼稚園から高校までの教育機関)を保護することを目的としたガイダンスを公開するとともに、そこで挙げられている推奨事項を実践するためのツールキットの提供を始めました。
- CISA(2023年1月24日)
CISA Releases Protecting Our Future:Partnering to Safeguard K-12 organizations from Cybersecurity Threats - https://www.cisa.gov/news-events/alerts/2023/01/24/cisa-releases-protecting-our-future-partnering-safeguard-k-12
- CISA
Protecting Our Future:Cybersecurity for K-12 - https://www.cisa.gov/protecting-our-future-cybersecurity-k-12
CISAは他にもK-12教育機関のセキュリティに関するさまざまな資料を提供していますが、今回は2023年9月に発表した、K-12教育テクノロジー・ソフトウェア開発会社と交わしたセキュア・バイ・デザインの誓約について紹介します。これは開発会社がより高いセキュリティを組み込んだ製品の設計を約束する「自主的な誓約(voluntary pledge)」であり、9月1日時点でCISAと誓約を交わしているのは、米国のK-12教育ソフトウェアの最大手プロバイダを含む以下の6社です。
- PowerSchool
https://www.powerschool.com/ - Classlink
https://www.classlink.com/ - Clever
https://www.clever.com/ - GG4L
https://gg4l.com/ - Instructure
https://www.instructure.com/ - D2L
https://www.d2l.com/
誓約は以下の3つの原則からなります。
原則1:顧客のセキュリティの結果に責任を持つ
原則2:抜本的な透明性と説明責任を取り入れる
原則3:トップから主導する
各原則は具体的に以下のような内容となっています。
原則1:顧客のセキュリティの結果に責任を持つ
1. 追加料金なしのシングルサインオン(Single Sign On:SSO)。SSOはパスワードベースの攻撃を減らすことでセキュリティを強化できるため、開発会社は全ての顧客が標準ベースのSSOを構成できるようにすべきである。
目標:誓約書にサイン後6カ月以内に、顧客は追加料金なしで標準ベースのSSOを構成できるようにする。
2. 追加料金なしのセキュリティ監査ログ。サイバーセキュリティインシデントの監視と対応に必要なセキュリティ監査ログは追加料金なしで学校に提供されるべきである。
目標:誓約書にサイン後6カ月以内に、セキュリティ監査ログは追加料金なしで顧客に提供する。
原則2:抜本的な透明性と説明責任を取り入れる
1. セキュア・バイ・デザインのロードマップを公表する。顧客のセキュリティを向上させるためにソフトウェア開発ライフサイクル(Software Development Life Cycle:SDLC)にどのような変更を加えているかを文書化する。これには脆弱性のクラス全体を排除するために講じた措置(例えば、メモリセーフな言語、パラメータ化されたクエリ、ウェブテンプレートフレームワークの使用など)が含まれる。またそのために、採用、トレーニング、コードレビュー、その他の内部開発プロセスをどのように更新しているかについての詳細も含める。そのロードマップでは、従来MFAに使われているモバイルデバイスを生徒が所有していない可能性があることを考慮した上で、生徒を含む全てのユーザをMFAに誘導するために開発会社がどのような計画を立てるのかについても概説すべきである(パスキーのような他の認証オプションを考慮すべきである)。
目標:誓約書にサイン後6カ月以内に、セキュア・バイ・デザインのロードマップは開発会社のウェブサイトで公表する。
2. 脆弱性開示ポリシーを公表する。公表する脆弱性開示ポリシーは次のとおり。(1) 開発会社が提供する全ての製品に対するテストを許可し、(2) ポリシーに基づくテストを許可する法的なセーフハーバー(安全地帯)を提供し、(3) 設定されたタイムラインの後に脆弱性を一般公開することを許可する。開発会社は発見された脆弱性の根本原因の分析を行ない、実現可能な最大限で、セキュア・バイ・デザインのロードマップに沿って根本原因の脆弱性クラスを排除するための措置を講じるべきである。
目標: 誓約書にサイン後3カ月以内に、開発会社は上記の基準に準拠した脆弱性開示ポリシーを自社のウェブサイトで公表する。
3. 脆弱性の透明性を取り入れる。脆弱性の根本原因を特定するCWEフィールドを含め、製品のCVEエントリが正確且つ完全であることを保証する。
目標:誓約書にサイン後3カ月以内に、開発会社が公表する全ての新しいCVEに、脆弱性についての完全な詳細情報が含まれ、脆弱性の根本原因に対して適切に割り当てられたCWEタグが付与されるようにする。
4. セキュリティ関連の統計データと傾向を公表する。これには、顧客および管理者のMFA導入状況や、安全でないレガシープロトコルの使用状況について集計された統計データが含まれる場合がある。
目標:誓約書にサイン後6カ月以内に、セキュリティ統計と傾向は開発会社のウェブサイトで公表される。
原則3:トップから主導する
1. セキュリティに対してセキュリティを負うビジネスリーダーのトップ(CTOやCISOではない)を指名する。この人物は、セキュア・バイ・デザインのロードマップの策定と実施を含め、ビジネスの中核機能としてセキュリティと品質を統合するプロセスを管理する責任を負うべきである。
目標:誓約書にサイン後3カ月以内に、開発会社はセキュリティに対して責任を負うビジネスリーダーのトップを指名する。
かなり厳しい内容(特に原則2)なので本当に実現可能なのかとの疑問はありますし、そもそも「誓約(pledge)」に強制力がどこまであるのか分からない上、守らなかった場合にどうなるのかも不明です。また、誓約の全てが確実に実施されれば、確かにセキュリティは現時点よりも向上するでしょうが、それだけでセキュリティ対策として十分というわけではありません。いずれにせよ、試み自体は興味深いものですので、今後の成果についても注視していく必要はあるでしょう。
なお、今回発表された誓約はあくまで教育機関向けソフトウェアの開発会社を対象としたものですが、誓約の内容を見れば明らかなように、一般的なソフトウェアやサービスのプロバイダに対しても考え方としては適用可能なものとなっています。つまり、教育機関に限らず一般企業にとっても、プロバイダー等の選定時のセキュリティ要件を検討する際の参考資料としては十分に使えるはずです。うまく活用してください。
- CISA(2023年9月05日)
CISA Announces Secure by Design Pledge with K-12 Education Technology Providers - https://www.cisa.gov/news-events/news/cisa-announces-secure-design-pledge-k-12-education-technology-providers
- CISA
K-12 Education Technology Secure by Design Pledge - https://www.cisa.gov/k-12-education-technology-secure-design-pledge
- まるちゃんの情報セキュリティ気まぐれ日記(2023年9月8日)
米国 CISA 幼稚園から高校まで (K-12) への教育ソフト開発会社とセキュア・バイ・デザインの誓約をかわす(2023.09.05) - http://maruyama-mitsuhiko.cocolog-nifty.com/security/2023/09/post-d987c6.html
- TECH+(2023年1月31日)
K-12組織(幼稚園から高校までの教育機関)向けセキュリティガイド公開 - https://news.mynavi.jp/techplus/article/20230131-2575171/
CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。