Last Updated on 2024-07-06 09:14 by 門倉 朋宏
ネットワークレジリエンスコリション(NRC)は、ネットワークセキュリティインフラの改善を目的とした推奨事項を発表しました。これは、時代遅れのソフトウェアやハードウェアの設定ミスによって生じる脆弱性を減らすことを目指しています。NRCは、サイバーセキュリティポリシーと法律センターによって2023年7月に設立され、ネットワークオペレーターとITベンダーが製品のサイバーレジリエンスを向上させるために協力しています。
NRCのメンバーには、AT&T、Broadcom、BT Group、Cisco、Fortinet、Intel、Juniper Networks、Lumen Technologies、Palo Alto Networks、Verizon、VMwareなどが含まれています。彼らは、国家による脅威アクターが、適切にセキュアされていない、パッチが当てられていない、または保守されていないハードウェアとソフトウェアの脆弱性を悪用して重要インフラを攻撃する努力を強化していると警告しています。
推奨事項は、バイデン政権の行政命令14208と一致しており、ソフトウェアサプライチェーンのセキュリティを含む現代化されたサイバーセキュリティ基準の呼びかけを含んでいます。また、サイバーセキュリティおよびインフラセキュリティ庁(CISA)のセキュリティ・バイ・デザインとデフォルトのガイダンス、および昨年発行された政府のサイバーセキュリティ法にも対応しています。
NRCは、ベンダーがNISTのセキュアソフトウェア開発フレームワーク(SSDF)にソフトウェア開発方法論をマッピングし、どのくらいの期間サポートとパッチをリリースするかを詳述することを推奨しています。また、セキュリティパッチを機能アップデートと一緒にバンドルするのではなく、別々にリリースするべきだとしています。同時に、顧客はSSDFに準拠し、重要なパッチを別々に発行することを約束したベンダーを重視すべきです。
さらに、NRCは、ベンダーがOASISによって2023年9月に開始されたOpenEoXをサポートすることを推奨しています。これは、リリースされるすべての製品について、リスクを特定し、エンドオブライフの詳細を機械可読形式で伝える方法を標準化する取り組みです。
CiscoのチーフトラストオフィサーであるMatt Fussaは、ソフトウェアの透明性を高め、よりセキュアなビルド環境を確立し、ソフトウェア開発プロセスを強化する取り組みが、重要インフラだけでなくセキュリティの向上につながると述べています。また、Fortinetの製品技術とソリューションのシニアVPであるCarl Windsorは、製品を最初からセキュリティを考慮して構築することの重要性を強調しています。
【ニュース解説】
サイバーセキュリティの分野で重要な動きがありました。ネットワークレジリエンスコリション(NRC)という団体が、ネットワークとソフトウェアのセキュリティを強化するための推奨事項を発表しました。この団体は、サイバーセキュリティのポリシーと法律に関するセンターによって設立され、大手通信会社やIT企業がメンバーとして参加しています。
NRCの提案は、ソフトウェア開発の安全性を高めるためのフレームワークであるNISTのSSDF(Secure Software Development Framework)に準拠すること、そして製品のサポート期間やセキュリティパッチのリリース計画を明確にすることを含んでいます。これにより、ソフトウェアの供給チェーンのセキュリティが向上することが期待されます。
また、NRCは、製品のリスク評価やサポート終了の情報を機械が読み取れる形式で提供するOpenEoXという取り組みをサポートすることも推奨しています。これにより、製品のライフサイクル管理が改善され、エンドユーザーがより適切なセキュリティ対策を講じることができるようになります。
これらの推奨事項は、バイデン政権の行政命令やCISAのガイダンスに沿ったものであり、将来的には法的要件として定められる可能性があるとされています。つまり、ITベンダーやネットワークオペレーターは、これらの推奨事項を早急に取り入れることで、将来の規制に対応しやすくなるというわけです。
この動きは、サイバーセキュリティの基準を高め、国家レベルでの脅威に対抗するためのものです。特に、重要インフラを狙ったサイバー攻撃が増加している現状を考えると、こうした取り組みは非常に重要です。セキュリティが組み込まれた製品の開発は、攻撃者による悪用の機会を減らし、より安全なデジタル環境を実現するための鍵となります。
しかし、これらの推奨事項を実施することには、コストやリソースの投資が必要になるため、特に中小企業にとっては負担となる可能性があります。また、新しい基準やプロセスの導入は、既存のシステムや業務に影響を与えるため、慎重な計画と段階的な実施が求められます。
長期的には、これらの取り組みが業界全体のセキュリティ水準を引き上げ、サイバー攻撃による被害を減少させることが期待されます。また、消費者の信頼を高め、ビジネスの持続可能性にも寄与するでしょう。しかし、国際的な規制の統一や、すべての関係者が推奨事項に従うためのインセンティブの設定など、まだ解決すべき課題も多くあります。
from NRC Issues Recommendations for Better Network, Software Security.
