検索
特集

CISAらが製品セキュリティガイド案を公開 メモリ安全性の高い言語の使用を呼びかけCybersecurity Dive

FBIやCISAはテクノロジー分野向けの製品セキュリティガイド案を発表し、製品の耐性を高めるためにソフトウェア業界が取るべき措置に関するパブリックコメントを求めている。ただ、これを実現するには幾つかのハードルがあるようだ。

PC用表示 関連情報
Share
Tweet
LINE
Hatena
Cybersecurity Dive

 連邦捜査局(FBI)と米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は2024年10月15日(現地時間、以下同)(注1)、テクノロジー分野向けの製品セキュリティガイド案を発表し、悪質なハッキングに対してソフトウェアや関連製品をより強靭にする方法について一般からの意見を求めている。

製品セキュリティ強化の肝 メモリ安全性の高い言語への移行はなぜ難しい?

 当局は、製品をハッキングに対してより強固にするために対策を講じるよう製造業者に呼びかけている。デフォルトパスワードの使用を控えることや、多要素認証(MFA)を導入しメモリ安全性の高いプログラミング言語を使用してソフトウェアを開発することを推奨している。

 このガイダンスは、ソフトウェアの欠陥を排除し、リリース時における技術の安全性を確保するための緊急の取り組みの一環だ。CISAおよび米国国土安全保障省(DHS)は、公的記録である「Federal Register」で、2024年10月16日に製品セキュリティの推進に関する本ガイダンスを発表し(注2)、同年12月2日まで回答を求めている。

 国家サイバーセキュリティ戦略の要点は、資金や専門知識、人材が不足している組織から、広く使用されるソフトウェアを開発するテクノロジー業界や大手企業へとセキュリティに関する負担を移行させることだ。

 その目的は、ソフトウェアやその他の技術ツールの設計および開発段階でフロントエンドに変更を加えるところにある。これによりユーザーは、ソフトウェアの脆弱(ぜいじゃく)性を探したり、顧客のシステムに侵入してサプライチェーンを混乱させたハッカーを追跡したりする必要がなくなる。

 2024年5月には、サイバーセキュリティ企業であるPalo Alto NetworksやMicrosoftを含む68のセキュリティベンダーやテクノロジーベンダーが(注3)、サイバーレジリエンスを高める取り組みを含む「セキュア・バイ・デザイン」を順守すると約束した。同年8月までに、同じ変更を約束した企業は200社以上に達した。

 2024年2月には、ホワイトハウスが主導して(注4)、メモリ安全性の高いプログラミングをサポートするために業界の支持を得る試みを展開し、ソフトウェア企業のPalantir、IT企業のHPE、ERPベンダーから支持を受けた。

 ソフトウェアセキュリティの専門家によると、業界は推奨される変更のほとんどを達成できるが、幾つかは重い負担となる可能性があるという。

 サイバーセキュリティ事業を営むOrca Securityのニール・カーペンター氏(フィールド最高技術責任者)は、電子メールで「これらの項目の幾つかは膨大な初期投資を必要とする」と述べた。

 カーペンター氏によると、コードの基礎をC++からメモリ安全性の高いプログラミング言語に移行するには膨大な作業が必要になる可能性があるという。

© Industry Dive. All rights reserved.

ページトップに戻る