サイバー・セキュリティの強化を推進する団体「National Cyber Security Partnership(NCSP)」は,ソフトウエア・セキュリティを改善するための提案を米国時間4月1日に発表した。NCSPは,米国の学術界,業界と政府が協力して進めるタスク・フォース。100ページを超えるレポートでは,ソフトウエア開発ライフサイクルにおいてソフトウエアのセキュリティを改善するための提案と将来的な取り組みについて発表している。
「ソフトウエア・セキュリティには,深刻で長期的かつ多面的な問題が存在する。これらの問題を解消するためには,開発ライフサイクルを通じて複数の解決策,リソースの適用が必要になる」(NCSPの共同会長兼Microsoftセキュリティ戦略主任のScott Charney氏)
同レポートでは,次の4点を提案している。
・ソフトウエア開発者向けの教育の改善。これには,大学レベルのソフトウエア開発プログラムにおいて,セキュリティを中心となる構成要素にする新しい構想,ソフトウエア・セキュリティの認定プログラム「Software Security Certification Accreditation Program」の作成が含まれる。
・セキュリティをソフトウエア設計プロセスの中心に備える最良事例の開発。
・パッチを管理する「Guiding Principles for Patch Management」の適用。同原則により,パッチのテスト,サイズ,ローカライズ,インストールの容易さなどを確認する。
・ソフトウエアをより安全にするために「Incentives Framework」を適用する。ポリシーメーカー,開発者,企業による効果的な戦略の開発を支援する。
同レポートの詳細は,NCSPのWWWサイトに掲載されている。
◎関連記事
■ Webアプリのセキュリティ標準を確立するコンソーシアム「WASC」が発足
■ビル・ゲイツ会長がセキュリティ対策の進捗状況を電子メールで報告
■「WWWアプリケーションの92%が攻撃に対して脆弱性有り」,米WebCohortの調査
■「次はWebアプリケーションが攻撃の対象になる」と米セキュリティ業界の第一人者が語る
■「9.11以降,米国企業の100%がサイバー・セキュリティを強化」,米調査
[発表資料へ]