セキュア・バイ・デザイン

セキュア・バイ・デザイン（Secure by Design）とは

セキュア・バイ・デザイン（Secure by Design）とは、システムやソフトウェアの企画・設計段階から、あらかじめセキュリティ対策を組み込んでおく設計思想のことです。

従来のセキュリティ対策は、システムを構築した後に「後付け」で壁を作ったり、脆弱性が見つかるたびに「パッチ（修正プログラム）」を当てたりする対症療法型が主流でした。しかし、セキュア・バイ・デザインは、開発の最初から「攻撃されることを前提とした堅牢な構造」を作る予防保全的型のアプローチを指します。

この考え方を広めるため、米国のCISA（サイバーセキュリティ庁）が主体となって、日本の内閣サイバーセキュリティセンター（NISC）やJPCERT/CCなどの各国の政府機関は、共同でガイドラインを公開しています。

CISAが提唱する3つの原則

米国CISAなど各国の政府機関が共同で発表したガイドラインでは、設計段階からセキュリティを組み込むための原則として、以下の3つを掲げています。

• 製品のセキュリティ成果に責任を持つ（Take Ownership of Security Outcomes）
  セキュリティの責任を顧客に負わせるのではなく、メーカー側は最初から安全な状態で提供することに責任を持つとともに、製品を適宜進化させる。
• 徹底した透明性と説明責任（Embrace radical transparency and Accountability）
  自社の脆弱性情報や正確なCVEを共有し、製品の安全性で差別化を図る。
• 組織体制とリーダーシップを構築（Build organizational structure and leadership to achieve these goals）
  経営層が主導して組織を動かし、セキュリティを製品開発の最優先事項とする。