アメリカ合衆国国土安全保障省システムエンジニアリングおよび開発機関（HSSEDI: Homeland Security Systems Engineering and Development Institute）から、

2020年Common Weakness Enumeration (CWE：共通脆弱性タイプ一覧)におけるソフトウェアに深刻な被害をもたらすおそれがある脆弱性トップ25が発表されました。

ここまでの説明がすでに長い。
ソフトウェアの組み込み脆弱性危険度トップ25 in アメリカ
でいいです。

今回の特徴は、

・スコアが全体的に低下

・上位に新しく増えたものはない(順位が変わっているのみ)

・下位に直接プログラムに関係ないといわれがちな範囲(インフラ系とか管理系といわれてる範囲)の分野が増えている(権限管理/認証管理系)

プログラム系の人たちがセキュリティ系の知識をつけてきていて、
だいぶ頑張った一年だったというところでしょうか。

ちなみに2019年度↓

NIST SP 800-207 ゼロトラスト(最終稿)

NISTのゼロトラストネットワーク標準が公開されたよ

SP 800-207 Zero Trust Architecture
https://csrc.nist.gov/publications/detail/sp/800-207/final

説明箇所のざっくり翻訳

ゼロトラスト（ZT）は、静的なネットワークベースの境界防御→ユーザー、資産、リソースを集中管理するというもの。

ゼロトラストアーキテクチャ（ZTA）は、ゼロトラストの原則を使用して、産業およびエンタープライズのインフラストラクチャとワークフローを計画する。

ゼロトラストは、物理的またはネットワーク上の場所（つまり、ローカルエリアネットワークとインターネット）または資産の所有権（企業または個人所有）のみに基づいて、

資産またはユーザーアカウントに暗黙の信頼が付与されていないことを前提とし、

認証と承認（サブジェクトとデバイス）は、エンタープライズリソースへのセッションが確立される前に実行される個別の機能としている。

ゼロトラストは、リモートユーザー、BYOD（Bring Your Own Device）などのエンタープライズネットワークのトレンドへの対応や企業所有のネットワーク境界内に配置されていないクラウドベースの資産への対応であり、

ゼロトラストは、ネットワークセグメントではなく、リソース（資産、サービス、ワークフロー、ネットワークアカウントなど）の保護に重点を置いている。

これは、ネットワークの場所がリソースのセキュリティ体制の主要なコンポーネントと見なされなくなったため。

このドキュメントには、ゼロトラストアーキテクチャ（ZTA）の抽象的な定義が含まれており、ゼロトラストが企業の全体的な情報技術のセキュリティ体制を改善できる一般的な展開モデルとユースケースを示している。

以上。