1. 追加料金なしのシングルサインオン(Single Sign On:SSO)。SSOはパスワードベースの攻撃を減らすことでセキュリティを強化できるため、開発会社は全ての顧客が標準ベースのSSOを構成できるようにすべきである。原則2:抜本的な透明性と説明責任を取り入れる
1. セキュア・バイ・デザインのロードマップを公表する。顧客のセキュリティを向上させるためにソフトウェア開発ライフサイクル(Software Development Life Cycle:SDLC)にどのような変更を加えているかを文書化する。これには脆弱性のクラス全体を排除するために講じた措置(例えば、メモリセーフな言語、パラメータ化されたクエリ、ウェブテンプレートフレームワークの使用など)が含まれる。またそのために、採用、トレーニング、コードレビュー、その他の内部開発プロセスをどのように更新しているかについての詳細も含める。そのロードマップでは、従来MFAに使われているモバイルデバイスを生徒が所有していない可能性があることを考慮した上で、生徒を含む全てのユーザをMFAに誘導するために開発会社がどのような計画を立てるのかについても概説すべきである(パスキーのような他の認証オプションを考慮すべきである)。2.
1. セキュリティに対してセキュリティを負うビジネスリーダーのトップ(CTOやCISOではない)を指名する。この人物は、セキュア・バイ・デザインのロードマップの策定と実施を含め、ビジネスの中核機能としてセキュリティと品質を統合するプロセスを管理する責任を負うべきである。かなり厳しい内容(特に原則2)なので本当に実現可能なのかとの疑問はありますし、そもそも「誓約(pledge)」に強制力がどこまであるのか分からない上、守らなかった場合にどうなるのかも不明です。また、誓約の全てが確実に実施されれば、確かにセキュリティは現時点よりも向上するでしょうが、それだけでセキュリティ対策として十分というわけではありません。いずれにせよ、試み自体は興味深いものですので、今後の成果についても注視していく必要はあるでしょう。
なお、今回発表された誓約はあくまで教育機関向けソフトウェアの開発会社を対象としたものですが、誓約の内容を見れば明らかなように、一般的なソフトウェアやサービスのプロバイダに対しても考え方としては適用可能なものとなっています。つまり、教育機関に限らず一般企業にとっても、プロバイダー等の選定時のセキュリティ要件を検討する際の参考資料としては十分に使えるはずです。うまく活用してください。
日本 最新ニュース, 日本 見出し
Similar News:他のニュース ソースから収集した、これに似たニュース記事を読むこともできます。
ソース: gifushimbun - 🏆 92. / 51 続きを読む »
ソース: Infoseeknews - 🏆 10. / 68 続きを読む »
ソース: doshinweb - 🏆 31. / 63 続きを読む »
ソース: sakigake - 🏆 88. / 51 続きを読む »
ソース: internet_watch - 🏆 23. / 63 続きを読む »
ソース: zakdesk - 🏆 57. / 59 続きを読む »