政府机関のデータは常に个人ハッカーや国家が支援するハッカーによる悪意のあるアクティビティの标的になっています。ソースコードや设计の弱点、パッチが适用されていない脆弱性、不十分なアプリケーション?セキュリティ対策なども组织や有権者を重大なリスクにさらす要因です。そのため、最近の复雑なアプリケーション环境においてセキュリティを维持することが政府机関の重要课题となっています。
最近の政府机関に対するセキュリティに関する指令や连邦サイバーセキュリティの戦略计画に伴い、ソフトウェア开発ライフサイクルの全段阶にわたり品质とセキュリティに対するリスクを検出および管理する一连のツールや自动プロセスを构筑することが不可欠です。
持続的セキュリティにより絶え间ない胁威を阻止
贵罢颁および痴别谤颈锄辞苍による最近の报告によると、、あらゆる业种の中でサイバーインシデントおよび侵害の标的となった件数が最大です。米国国家科学技术会议(狈厂罢颁)が定めた目标は、攻撃のコストが侵害による利益の可能性を上回るようなアプリケーション?セキュリティおよびリスク管理対策を実现することです。
组织のサイバーセキュリティに関する意思决定は、组织の资产、脆弱性、潜在的な胁威の评価を共有したうえで行い、セキュリティ投资がリスク情报に基づいて行われるようにする必要があります。これは、资产、脆弱性、露出、潜在的な胁威に関して组织に十分な情报がない场合でも、达成しなければなりません。"
NSTC
|Federal Cybersecurity Research and Development Strategic Plan、2016年2月
成功の指标
连邦指令および戦略构想は、アプリケーション?セキュリティの目标达成度、セキュリティ?ハッカーの阻止、连邦政府全体へのソフトウェア普及の奨励に対する基準を规定しています。
100,000
政府机関アプリケーションの不具合1件あたりの目标コード行数
2019
実効性のあるリスク管理により攻撃者の优位を排除するまでの目标期限
20%
オープンソースとしてリリースする必要がある政府机関コードの最低割合
政府机関ソフトウェアの脆弱性を排除
攻撃が低コストでできる理由はどこにあるのでしょうか。アプリケーション?コード内のパッチが适用されていない脆弱性や特定されていない脆弱性は容易にエクスプロイトされます。パッチが未适用、またはゼロデイ脆弱性を持つコンポーネントが1つでもあると、膨大な数のアプリケーションが危殆化する可能性があります。最近の米国国土安全保障省の报告では、と推定しています。
アプリケーションの脆弱性を検出して修正することにより、敌対者の抑止と攻撃成功の防止に重大な影响がもたらされます。
政府机関アプリケーションのセキュリティ
関连リソース
コンテナのセキュリティ - 政府機関のベストプラクティス
顿别惫翱辫蝉のアプリケーション?セキュリティ能力を身につける
