CISA、ソフトウェアの安全証明フォームを公開 フィードバックも募集：Cybersecurity Dive

CISAは連邦政府に提供するソフトウェア製品がセキュリティ上最低限の開発基準を満たしているかどうかを、製作者自身が保証する「自己認証共通フォーム」を発表した。証明フォームへの記入は必須とされている。

[David Jones，Cybersecurity Dive]

　米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は2023年4月25日、連邦政府に提供するソフトウェア製品がセキュリティ上最低限の開発基準を満たしているかどうかを、製作者自身が保証する「自己認証共通フォーム」を発表した（注1）。

　また、CISAは自己認証共通フォームに関するフィードバックを募集しており、募集期間は2023年6月26日までの60日間だ。これは新しい連邦政府のソフトウェアセキュリティ要件のテクノロジー産業による順守を支援する計画の一部だ。

証明フォームへの記入、違反すれば刑事罰の恐れも

　ホワイトハウスは2022年9月（注2）、予算管理局を通じてサードパーティーのソフトウェアベンダーに対し、米国国立標準技術研究所（NIST）が策定したガイドラインに基づく最低限のセキュリティ基準を順守するよう求める指針を発表した。

　証明フォームへの記入は必須とされており、順守しなかった場合（注3）、そのベンダーのソフトウェアを使用しないという結論につながる可能性がある。また、虚偽や誤解を招く情報をフォームに記載した場合、違反者は刑事罰の対象となる恐れがある。

　この計画は、SolarWindsを襲ったサプライチェーン攻撃やColonial Pipelineに対するランサムウェア攻撃を受けて、ソフトウェアのセキュリティを強化するための幾つかの対策を求めるジョー・バイデン大統領による2021年の大統領令の一部だった（注4）。

　Hoprの創業者兼CEO（最高経営責任者）であるトム・マクナマラ氏は「自己証明の要求は非常に低い基準であり、ソフトウェアが真に必要なセキュリティレベルを満たしていることを確認するために必要な順守のレベルに達しないだろう」と述べている。

　また、マクナマラ氏は電子メールで「このフォームは連邦政府の行政方針を満たすために必要な単純なコンプライアンスの活動だと考えている。しかし、それはゼロトラスト基準を満たすものではない」とも話す。

　産業のコンプライアンス基準は通常、はるかに厳格な調査を要求するとマクナマラ氏は述べている。クラウドコンピューティングでは、デジタル資産のアイデンティティーを確立するために公開鍵暗号の技術を利用している旨を証明する書類があり、第三者によって審査される。

　CISAの広報担当者はコメントの要請に応じなかった。

（注1）Request for Comment on Secure Software Self-Attestation Common Form（CISA）
（注2）White House sets minimum security standards for federal software use（Cybersecurity Dive）
（注3）Department of Homeland Security（CISA）
（注4）White House cybersecurity order lands with a plea for private sector help（Cybersecurity Dive）

原文へのリンク