Googleは政府が推奨する機能を自社製品に取り入れ始めた。何が目的なのだろうか。
Googleは2023年2月13日、米国政府の方針に従って自社製品に手を入れていることを発表した。
Googleの目的はセキュリティの向上だ。連邦政府のサイバーセキュリティ担当者は製品開発の最終段階ではなく、最初の設計段階でレジリエンスを組み込むことを推進している。Googleはこの「セキュアバイデザイン」「セキュアバイデフォルト」を強く支持した。
開発者が製品の開発段階から脆弱(ぜいじゃく)性やその他の欠陥に取り組み、ユーザーが利用時にセキュリティ欠陥に触れることがないようにすることが目的だ(注1)。
サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)のジェン・イースターリー氏とエリック・ゴールドスタイン氏が(注2)、開発プロセスの一部としてより多くのセキュリティを確保するための取り組みを業界に呼びかける論説を発表している。
GoogleとAlphabetに勤めるケント・ウオーカー氏(グローバルアフェアーズ社長兼最高法務責任者)と、Googleのローヤル・ハンセン氏(プライバシー、安全、セキュリティ担当エンジニアリングバイスプレジデント)は、2023年2月1日に「われわれはCISAの人々は正しいと思う」と記している。
「企業は自ら歩み寄り、政府と協力して欠陥のあるエコシステムの修復を支援するときだ」(ハンセン氏)
「ランサムウェア攻撃は既存の脆弱性や安全ではないソフトウェア、防御できないアーキテクチャ、セキュリティへの不十分な投資などの要因により、近年勢いを増している」(ウォーカー氏とハンセン氏)
自社のプラットフォームでセキュリティの取り組みを進めるために、Googleは早い段階から幾つかの手を打っている。2021年以降、同社はオンラインアカウント保有者のためにデフォルトで二要素認証を有効にしており(注3)、携帯電話にも二要素認証を組み込んだ(注4)。
Gartnerのデール・ガードナー氏(シニアリサーチディレクター)は「社会が生活のあらゆる場面でテクノロジーへの依存度を高めている中、あらゆる種類の組織がセキュアバイデザインのアプローチを製品やサービスの開発に採用することが極めて重要だ」と語った。
「われわれはセキュリティや安全性を犠牲にして機能や特徴を優先した場合に現れる文字通り数え切れないほどの余分なコストを目の当たりにしている」(ガードナー氏)
© Industry Dive. All rights reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。