安全設計の誓約 | CISA

まとめ

これは、オンプレミス ソフトウェア、クラウド サービス、サービスとしてのソフトウェア (SaaS) などのエンタープライズ ソフトウェア製品およびサービスに焦点を当てた自主的な誓約です。 この誓約には、IoT デバイスや消費者製品などの物理的な製品は含まれていませんが、これらの分野での進歩を実証したい企業は歓迎します。

ソフトウェアメーカーはこの誓約に参加することにより、翌年度以下に挙げる目標に向けて誠実に努力することを誓約します。 ソフトウェアメーカーが目標に向けて目に見える進歩を遂げることができた場合、メーカーは誓約書に署名してから 1 年以内にその進歩をどのように達成したかを公的に文書化する必要があります。 ソフトウェアメーカーが目に見える進歩を遂げることができない場合、メーカーは誓約書に署名してから 1 年以内に、メーカーが目標を達成するためにどのように取り組んでいるか、および直面している課題を CISA と共有することが奨励されます。 徹底した透明性の精神に基づき、メーカーは自社のアプローチを公に文書化し、他の人が学べるようにすることが奨励されています。 この誓約は任意であり、法的拘束力はありません。

公約は 7 つの目標で構成されています。 各目標には、メーカーが取り組むことを約束する主要なベンチマークのほか、目標を達成し、測定可能な進歩を実証するための背景と例が含まれています。 さまざまなアプローチを可能にするために、Pledge に参加しているソフトウェア メーカーは、各目標の中核となる基準を最適に満たし、実証する方法を決定する裁量権を持っています。 メーカーの製品全体で測定可能な進捗を示すには、メーカーのすべての製品に対してアクションを実行したり、最初に取り組む製品グループを選択して他の製品のロードマップを公開したりするなど、さまざまな形があります。

CISA は、これらの目標をすでに達成または超えているソフトウェア メーカーを認め、称賛します。 このような場合、ソフトウェア製造業者が実際に目標を達成または上回っている場合、製造業者はその達成方法を公的に説明しなければなりません。 このような場合、CISA は誓約の目標を超える追加の努力を歓迎します。

この誓約は、CISA、NIST、その他の連邦機関によって開発されたものや、国際的および業界のベスト プラクティスを含む、既存のソフトウェア セキュリティのベスト プラクティスを補完し、その上に構築することを目指しています。 CISA は、Secure by Design を強化する補完的な対策の採用を引き続きサポートします。