消費者向けソフトウェアのセキュリティ評価: NHTSA の先導に従うべきでしょうか?

米国道路交通安全局 (NHTSA) は、 ミッション: 「教育、研究、安全基準、執行を通じて、交通事故による命を救い、怪我を防ぎ、経済的コストを削減する。」 消費者向けソフトウェアのセキュリティを専門とする同様の組織を設立する時期が来たのでしょうか? 使命は非常に似ています。ソフトウェアが基本的なセキュリティと安全基準を満たし、消費者が理解し、実装し、維持しやすいものであることを保証することです。

現在、自動車は一般に販売される前に基本的な安全基準を満たしている必要がありますが、ソフトウェアはそうではありません。 すべてのアメリカ人が自分自身と自分のデータをデジタル犯罪から簡単に守るにはどうすればよいでしょうか?

基本的な安全性とセキュリティのニーズを満たす

Uber の Android アプリには、 10万行を超えるコード これは、一般的なスマートフォンのオペレーティング システムのコード行数が約 10,000 万行であるのとほぼ同じです。 スマートフォンでは、何千もの設定が利用できます。 多くはセキュリティとプライバシーに影響を与え、エンド ユーザーが構成可能であり、これはほとんどのユーザーにとって重要です。 残念ながら、多くのソフトウェアおよびデバイス ユーザーは、これらの構成をそれぞれ慎重に検討する必要があることに気づいていません。 という理由だけでなく、 間違った構成 潜在的な攻撃者にデータをさらす可能性があるだけでなく、データを本人が認識している以上にさらす可能性のある方法でデータを使用しようとする正当な試みからデータを保護することもできます。

デフォルトでユーザーが攻撃や過度に寛容なデータ アクセスにさらされることを防ぐソフトウェアやデバイスはほとんどないため、消費者は悪意のある攻撃者に簡単にマークされます。 ソフトウェアのセキュリティを強化するには、安全機能がデフォルトで導入されている必要がありますが、それらの機能を有効にするには、ユーザーもそれらの機能を使用する必要があります。

安全性評価の作成

消費者向けソフトウェアのセキュリティに関する問題の XNUMX つは、ソフトウェアおよびデバイスのメーカーがデフォルト設定で使用する危険性について人々に警告していないことです。 顧客に車両の安全性プロファイルを伝える評価機関は数多くあります。 NHTSA は、消費者が最も安全な車両を選択し、リコールについて簡単に知ることができるように、車両の安全性評価を提供しています。 また、消費者、政策立案者、安全専門家を教育するために調査と評価を行う独立非営利団体、道路安全保険協会 (IIHS) もあります。 消費者は、これらの組織からの情報を使用して、必要な機能と重要な安全機能のバランスをとることができます。 これにより、消費者は車両を選択する際に機能性と安全性を意識的に選択できるようになります。

当然のことながら、ソフトウェア開発者にとって、リリース前に徹底的なソフトウェア テストを実行して、考えられるすべてのバグを特定して修正することは、困難な作業です。 これは退屈で複雑で、間違いが発生しやすいプロセスです。 それでもホワイトハウスはこう要請した ソフトウェアサプライチェーンの強化 のセクション 4 にある 国のサイバーセキュリティの改善に関する大統領命令。 バグのないソフトウェアをリリースするのは困難 (そしておそらく不可能) ですが、デフォルト設定を確認して変更する必要があると顧客に警告することは難しくありません。

この警告は、すべてのソフトウェア アプリとデバイスに付属しているはずです。 理想的には、長くて解析が難しい利用規約のページや、デバイスの箱に入っている小さくて翻訳が不十分な紙よりもアクセスしやすいものである必要があります。 虫眼鏡を使用したり、法律用語に精通したり、多くの忍耐を必要とするのではなく、一目で読みやすく理解できるものでなければなりません。

アプリケーションのデフォルト設定の使用にはリスクが伴う可能性があることを消費者に警告するだけでなく、消費者が購入しようとしているものが本質的にリスクであることを認識できるようにする評価システムに進化することもできます。これにより、消費者は、製品を選択するときと同じトレードオフを故意に行うことができます。車両。 たとえば、評価システムでは次のことが考慮されます。

• 特定のオペレーティング システムまたはアプリケーションが過去に攻撃された方法。
• アプリケーションの安全性を高めるために、時間の経過とともに必要となるセキュリティ パッチの数。
• 暗号化、認証、認可などのアプリケーションのセキュリティ機能。
• ユーザーデータの収集および使用方法を含む、組織のプライバシー慣行。

これにより、ユーザーがその製品から遠ざかる可能性があります。あるいは、少なくとも時間の経過とともにそのセキュリティ プロファイルに対するユーザーの意識が高まる可能性があります。 たとえば、いくつかの インターネットブラウザ 本質的に他のものよりもリスクが高いことがよく知られています。 事前にセキュリティ評価が付いている場合はどうなるでしょうか? ユーザーはその評価に基づいて、機能とセキュリティのトレードオフを行うかどうかを決定できます。

ソフトウェアセキュリティにおける消費者の役割

毎日、一日中、非常に多くのソフトウェアがユーザーの手元にあるため、ユーザーが使用するソフトウェアとデバイスのセキュリティとプライバシーのレビューを独自に開始することが不可欠です。 ほとんどのユーザーは、自分にとって重要な機能とアプリケーションの構成だけに集中します。 重要なユーザビリティ機能もありますが、ユーザーはさらに多くのことが関係していることも認識する必要があります。 ユーザーが使用するアプリケーションはオペレーティング システムの設定と相互作用するため、アプリケーションがより高いリスクにさらされる可能性があります。

セキュリティ教育者およびソフトウェア プロバイダーとしての私たちの役割は、新しいすぐに使えるソフトウェアやデバイスのすべてのデフォルト設定を確認し、必要に応じて変更を加えるようにユーザーに促すことでなければなりません。 残念ながら、これはほとんどのユーザーにとって簡単な作業ではありません。

現在、最も重要な設定の構成をユーザーがナビゲートするのに役立つガイドが用意されており、機能とセキュリティ、プライバシーのバランスを決定するオプションが提供されます。 たとえば、Consumer Reports は次のような報告書を発表しました。デジタル セキュリティとプライバシーに関するガイド」は、消費者がオンラインで安全を確保し、オンライン追跡を制御し、携帯電話やラップトップを攻撃者から保護できるようにするものです。 これらのガイドは役に立ちますが、読んで活用しているユーザーは少なすぎます。 より広範な安全性評価システムに準拠したシンプルな安全性評価システム サイバーセキュリティポリシー 現政権の指導者は、消費者が自分自身と自分のソフトウェアやデバイスを安全に保つ方法の基本を確実に理解できるようにすることができます。

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
• プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
• プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
• プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
• 情報源： https://www.darkreading.com/vulnerabilities-threats/consumer-software-security-assessment-should-we-follow-nhtsas-lead