CISAと連邦管理予算局(OMB)は、米国政府と協働するソフトウェアメーカーが安全な開発プラクティスを順守しているかどうかを確認するための認証フォームを公表した。この認証フォームで要求される情報の提供を拒んだ場合、どうなってしまうのか。
この記事は会員限定です。会員登録すると全てご覧いただけます。
バイデン政権は、国家のソフトウェアサプライチェーンを保護するための長年にわたる努力の一環として、安全なソフトウェア開発に関する認証フォームを承認した(注1)。
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)と連邦管理予算局(OMB)が2024年3月11日(現地時間、以下同)に発表した同認証フォームは、米国政府と協働するソフトウェアメーカーが安全な開発基準を順守していることを保証するためのものだ。
同認証フォームではどのような取り組みが推奨されており、要求される情報を提供しなかった場合、どうなってしまうのか。
連邦政府のクリス・デルーシャ氏(最高情報セキュリティ責任者兼副ディレクター)と、CISAのエリック・ゴールドスタイン氏(エグゼクティブ・アシスタントディレクター)は2024年3月11日に発表されたブログ記事で「ソフトウェアは政府が米国民のために提供するほぼ全てのサービスの基盤となっている」と述べた(注2)。
2人はブログ記事の中で、マルウェア「Sunburst」によるサプライチェーン攻撃を受けた後、国家のサイバーセキュリティ強化を目的とする一連の対策につながった「米国大統領令14028」を引用した。この攻撃は、国家の後ろ盾を得た攻撃者「Nobelium」によるもので(注3)、SolarWindsの多数の顧客に影響を与えた。
CISAは連邦政府と協力する企業に対し、安全な開発プラクティスの最低基準に準拠するように求める認証フォームについて、業界から広く意見を求めた。
この認証フォームで要求される情報を提供しなかった場合(注4)、その機関は特定のソフトウェアを使用できなくなる可能性がある。また、故意に虚偽を述べたり、誤解を招くような開示をしたりすると、刑事法に違反する可能性もある。
セキュリティ企業Synopsys Software Integrity Groupのティム・マッキー氏(ソフトウェアサプライチェーンに関するリスク戦略責任者)は、電子メールで「認証は、調達または更新のプロセスで実施される厳格な要件である」と話した。
ソフトウェア企業Endor Labsのクリス・ヒュー氏(チーフセキュリティアドバイザー)によると、ガイドラインに含まれる安全なプラクティスの中には、本番環境と開発環境の分離や多要素認証の使用、定期的なロギングとモニタリングなどが含まれているという。
「現在、あるいは未来において、連邦政府への製品販売を検討しているソフトウェアサプライヤーは、原則として安全な開発プラクティスを採用するためにシステムの変更を余儀なくされるだろう」(ヒューズ氏)
(注1)Secure Software Development Attestation Form(CISA)
(注2)In Effort to Bolster Government Cybersecurity, Biden Administration Takes Step to Ensure Secure Development Practices(CISA)
(注3)One year later: Has SolarWinds changed how industry builds software?(Cybersecurity Dive)
(注4)Department of Homeland Security Cybersecurity and Infrastructure Security Agency (CISA) Secure Software Development Attestation Form Instructions(CISA)
© Industry Dive. All rights reserved.