ソフトウェアサプライチェーンのリスクに備えよ CISAらがガイダンスを公開

CISAとNSA、ODNIはカスタマー向けに、ソフトウェアサプライチェーンに対するセキュリティ強化の実践ガイダンスを公開した。

[後藤大地，有限会社オングス]

　米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）と米国家安全保障局（NSA）、米国国家情報情報長官室（ODNI）は2022年11月17日（現地時間）、ソフトウェアサプライチェーンのセキュリティ強化に向けた実践ガイダンスを共同で公開した。

CISAらはソフトウェアサプライチェーンのセキュリティ強化に向けたガイダンスを公開した（出典：CISAのWebサイト）

ソフトウェアサプライチェーンの脅威に対処するには？

　CISAとNSA、ODNIが共同で公開したガイダンスは、ソフトウェアのカスタマーにおける適用を想定している。付属のファクトシートとともに、カスタマーが調達や展開段階でソフトウェアの整合性とセキュリティを確保するため方法を記載している。

　当局らは既に開発者向けとサプライヤー向けのガイダンスを公開しており、今回のガイダンスがシリーズ3作目となる。3シリーズはそれぞれ以下のページからアクセスできる。

• Securing the Software Supply Chain - Recommended Practices Guide for Developers
• Securing the Software Supply Chain - Recommended Practices Guide for Suppliers
• Securing the Software Supply Chain: Recommended Practices Guide for Customers

　CISAは上記ガイダンスに加えて、以下のドキュメントも確認することを推奨している。

• Supply Chain | CISA
• ICT Supply Chain Library | CISA
• NRMC Resources | CISA

　サイバー攻撃は社会の脅威になっており、関連各企業における適切な対応が求められている。公開されたガイダンスはCISAらが進める取り組みの一環であり、企業間が連携して対策に取り組むことが推奨されている。