米Cybersecurity & Infrastructure Security Agency (CISA)が連邦捜査局や国家安全保障局(NSA)のほか、オーストラリア・カナダ・英国・ドイツ・オランダ・ニュージーランドのサイバーセキュリティ当局と共同で、ガイダンス「Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Security-by-Design and -Default」を公開している (ニュースリリース、 VentureBeat の記事)。

ガイダンスでは顧客の手元に届いてから確認された脆弱性を修正する現在のソフトウェアは仕様上脆弱 (Vulnerable By Design) だと指摘。ソフトウェアメーカーは出荷するソフトウェアを仕様上セキュア (Secure By Design) かつ既定値でセキュア (Secure By Default)になるよう、緊急の対策が必要だという。

ソフトウェアのセキュリティは製品の開発や構成、出荷に先立つ設計プロセスに組み込む必要があり、セキュリティ対策で顧客に負担をかけることなくメーカーが責任を持つ必要があるとのこと。また、脆弱性情報の透明性確保に努めることや、セキュリティを優先する組織構造の構築なども挙げられている。

すべて読む | セキュリティセクション | カナダ | 英国 | オーストラリア | セキュリティ | アメリカ合衆国 |

関連ストーリー：
Google、Windows 版 Chrome の望ましくないソフトウェア削除機能を廃止 2023年03月11日
米政権、ソフトウェアの安全への適切な注意義務を怠った者に責任を負わせる国家サイバーセキュリティ戦略 2023年03月04日
米国のアンチウイルスユーザー、61 % は無料ソフトウェアを使用 2023年02月25日