innovaTopia

Tech for Human Evolution

ソフトウェア安全性自己申告、米国政府が新プロセス開始

ソフトウェア安全性自己申告、米国政府が新プロセス開始 - innovaTopia - (イノベトピア)

Last Updated on 2024-06-12 08:22 by admin

米国政府は、ソフトウェア開発者に対し、彼らのソフトウェアが安全に開発されたことを自己申告するフォームの提出を求めるプロセスを開始した。この自己申告は、重要インフラに使用されるソフトウェアに対して、本日から適用される。サイバーセキュリティとインフラセキュリティ庁(CISA)は、安全なソフトウェア開発証明フォームを3月に公開し、ソフトウェアの各コンポーネントがソフトウェア材料表(SBOMs)の形で監視下にあること、およびセキュア・バイ・デザインの原則に従って開発されたことを確認するよう求めた。しかし、供給チェーンセキュリティ管理会社LineajeによるRSAカンファレンスでの最近の研究によると、多くのベンダーが期限に間に合わせる準備ができていないことが示唆された。連邦サイバーセキュリティの自己証明の期限を満たす準備ができていると回答したのは、約20%の回答者のみであり、さらに悪いことに、SBOMsをソフトウェア開発に組み込んだと答えたのは16%のみだった。

2021年5月、ソーラーウィンズ事件やLog4jエクスプロイトなどの広く報道されたインシデントの後、米国のジョー・バイデン大統領は、政府の請負業者に対し、サイバーセキュリティ慣行に関するより厳格な基準を満たし始めるよう通知した。バイデンの「国家のサイバーセキュリティを向上させるための大統領令(EO 14028)」は、米国政府をより安全にするためのロードマップを設定し、そのシステムとそれに含まれるすべてのソフトウェアを追跡可能で監査可能にすることを目指した。これにより、安全なソフトウェア開発証明フォームが導入され、CEOまたは認可された代理人が、安全なソフトウェア開発フレームワーク(SSDF)から派生した以下の慣行を現在一貫して使用していることを誓うことになった。これには、すべてのコンポーネントの出所を維持し、脆弱性報告システムを設置することが含まれる。このフォームは、記入可能なPDFまたはソフトウェア証明とアーティファクトのリポジトリポータルを通じてオンラインフォームとしてダウンロード可能である。

重要と見なされないその他のソフトウェアについては、ベンダーは9月11日まで自己申告を開始する必要はない。

【ニュース解説】

米国政府は、重要インフラに使用されるソフトウェアの開発者に対して、そのソフトウェアが安全に設計されたことを自己申告する新しいプロセスを開始しました。この自己申告制度は、ソフトウェアがセキュア・バイ・デザインの原則に従って開発され、ソフトウェアの各コンポーネントがソフトウェア材料表(SBOMs)を通じて監視されていることを確認することを目的としています。この取り組みは、サイバーセキュリティとインフラセキュリティ庁(CISA)によって推進され、安全なソフトウェア開発証明フォームの提出を通じて実施されます。

この動きは、ソーラーウィンズ事件やLog4jエクスプロイトなど、過去に発生したサイバーセキュリティインシデントを受けて、より強固なサイバーセキュリティ対策の必要性が高まっている中で行われました。ジョー・バイデン大統領は、これらの事件を受けて、国家のサイバーセキュリティを向上させるための大統領令を発令し、政府の請負業者に対してサイバーセキュリティ慣行の強化を求めました。

しかし、供給チェーンセキュリティ管理会社Lineajeによる最近の研究によると、多くのベンダーがこの新しい要件を満たす準備ができていないことが示されています。自己申告の期限に間に合わせる準備ができていると回答したのは、わずか20%の回答者であり、SBOMsをソフトウェア開発に組み込んでいると答えたのは16%に過ぎませんでした。

この自己申告制度の導入により、ソフトウェア開発者は、セキュリティを最初から考慮に入れた設計を行い、ソフトウェアの各コンポーネントの出所を明確にし、脆弱性に対する報告システムを設置することが求められます。これにより、ソフトウェアの安全性が向上し、サイバーセキュリティリスクの低減が期待されます。

一方で、この新しい要件は、特に小規模なソフトウェア開発者にとっては、追加の負担となる可能性があります。また、全てのベンダーがこの要件を満たすために必要なリソースや知識を持っているわけではないため、業界全体でのサポートやガイダンスの提供が重要になってきます。

長期的には、この自己申告制度は、ソフトウェアの安全性を確保し、サイバーセキュリティの脅威に対する国家のレジリエンスを高めるための重要なステップとなるでしょう。しかし、その成功は、業界の協力と、開発者が直面する課題への対応にかかっています。

from Process to Verify Software Was Built Securely Begins Today.

ホーム » サイバーセキュリティ » サイバーセキュリティニュース » ソフトウェア安全性自己申告、米国政府が新プロセス開始