設計によるセキュリティ

セキュア・バイ・デザイン（SbD）は、サイバーセキュリティとシステムエンジニアリングの概念であり、セキュリティを後付けではなく、最初からシステムに組み込むことを義務付けています。パッチ適用や外部制御によって後から追加するのではなく、ハードウェア、ソフトウェア、およびサービスの設計プロセスのごく初期段階で保護機能を組み込むことで、セキュリティ要件をアーキテクチャ自体に統合することに重点を置いています。

システムが攻撃されることを前提として、セキュア・バイ・デザイン（SbD）とは、アーキテクチャを制限することで、侵害を困難にし、封じ込め、回復可能にすることです。SbDでは、多層防御、攻撃対象領域の最小化、最小権限原則、検知・対応メカニズムの統合といった戦略を重視します。SbDでは、セキュリティを、パフォーマンス、ユーザビリティ、コストと同等の設計制約として扱います。これは、主に導入後の脆弱性管理に依存する事後対応​​型のアプローチとは対照的です。

サプライチェーン侵害やランサムウェア攻撃といった重大なサイバーイベントが事後対応型セキュリティの欠点を露呈したことから、21世紀にはセキュア・バイ・デザイン（SbD）の普及が加速しています。SbDの実践は、消費者向けIoTデバイスから防衛システムまで、様々な分野において、政府、企業、標準化団体によってより頻繁に求められるようになっています。この考え方は、セーフティ・バイ・デザイン（SbD） 、プライバシー・バイ・デザイン（ Privacy by Design）、そしてレジリエントなシステムエンジニアリング（Resilient Systems Engineering）といった関連パラダイムと類似点があります。

セキュア・バイ・デザインは、いくつかの基本的な概念に基づいています。

• 設計上の制約としてのセキュリティ: セキュリティ仕様は概念設計プロセスに組み込まれ、プロジェクト開発のすべての段階で維持される必要があります。
• システムはアクティブな敵が存在する敵対的な環境で機能すると想定されるため、攻撃を予測します。
• 最小権限: ユーザー、プロセス、サービスには、最も重要な権限のみが付与されます。
• 階層化されたセキュリティ制御と多層防御により、完全な侵害の可能性が軽減されます。
• 必要な機能、インターフェース、サービスのみを公開することで、攻撃対象領域を減らします。
• 継続的な保証: セキュリティ対策は継続的にテスト、監視、強化する必要があります。
• 秘密主義は避けてください。セキュリティの基盤となるのは、独自の不明瞭さではなく、強力でオープンな設計です。

これらの考え方は、安全性バイデザイン、プライバシーバイデザイン、ゼロトラストアーキテクチャ(ZTA) などの関連パラダイムを補完し、重複しています。

セキュア・バイ・デザインは単一の手法ではなく、アジャイル、ウォーターフォール、DevSecOpsなど、様々な開発ライフサイクルで活用できる設計哲学です。よく知られているフレームワークや手法には、以下のようなものがあります。

• Microsoft セキュリティ開発ライフサイクル(SDL)は、製品作成のあらゆるステップにセキュリティを追加します。
• NIST SP 800-160 Volume 2 では、システム セキュリティ エンジニアリングを使用して、破られにくいシステムを構築します。
• 脅威モデリングは、セキュリティを設計するためのフレームワーク、方法論、およびテクニックのセットです。
• SEI セキュア デザイン パターン (カーネギーメロン大学、2009 年) – 一般的なセキュリティ問題を解決するために何度でも使用できる戦略。
• MoD Secure by Design 実装ガイド – 英国の防衛部門向けのベスト プラクティスのセット。

セキュア バイ デザインは、さまざまな分野で要求または提案されています。

• 米国国立標準技術研究所（ NIST）は、SP 800-160およびSP 800-53（セキュリティ管理策）を通じてセキュア・バイ・デザイン（SbD）を推進しています。また、サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）も、ソフトウェアメーカー向けにセキュア・バイ・デザイン（Secure by Design）ガイドラインを公開しています。
• 英国政府は、政府デジタルサービス（GDS）と国防省を通じて、デジタルサービスにおけるSbD（セキュリティ・バイ・デマンド・アーキテクチャ）の導入を義務付けています。これは、リスクを考慮した設計、継続的な保証の提供、そして攻撃対象領域の縮小を意味します。
• サイバーレジリエンス法は、欧州連合における製品のライフサイクル全体にわたるセキュリティを重視しており、これは SbD の原則に沿っています。
• コンシューマー IoT: ETSI TS 103 645 は、英国および EU の IoT ルールで使用されるセキュリティ標準を設定します。

広く支持されている一方で、Secure by Design は実際には課題に直面しています。

• コストと複雑さ - セキュリティ設計への早期投資により初期コストが増加する可能性があります。
• レガシー システム – 古いアーキテクチャに SbD を適用するのは、多くの場合非現実的です。
• サプライ チェーンの依存 – サードパーティのソフトウェアとコンポーネントが SbD の実践を損なう可能性があります。
• 人的要因 – コントロールの設計が適切でないと、ユーザーがそれを無視してしまい、有効性が低下する可能性があります。

これらの課題にもかかわらず、SbD は、高度な持続的脅威 (APT)、ランサムウェア、サプライ チェーン攻撃に対抗する上で不可欠であるとますます認識されています。

• コンピュータセキュリティ
• サイバーセキュリティ基準
• 強化（コンピューティング）
• 複数の独立したセキュリティレベル
• 隠蔽によるセキュリティ
• ソフトウェアセキュリティ保証

• Linux と Unix のセキュアプログラミング HOWTO
• セキュアUNIXプログラミングに関するFAQ
• 安全なコーディングの実践トップ10
• セキュリティ・バイ・デザインの原則