CISAらが製品セキュリティガイド案を公開 メモリ安全性の高い言語の使用を呼びかけ:Cybersecurity Dive
FBIやCISAはテクノロジー分野向けの製品セキュリティガイド案を発表し、製品の耐性を高めるためにソフトウェア業界が取るべき措置に関するパブリックコメントを求めている。ただ、これを実現するには幾つかのハードルがあるようだ。
連邦捜査局(FBI)と米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は2024年10月15日(現地時間、以下同)(注1)、テクノロジー分野向けの製品セキュリティガイド案を発表し、悪質なハッキングに対してソフトウェアや関連製品をより強靭にする方法について一般からの意見を求めている。
製品セキュリティ強化の肝 メモリ安全性の高い言語への移行はなぜ難しい?
当局は、製品をハッキングに対してより強固にするために対策を講じるよう製造業者に呼びかけている。デフォルトパスワードの使用を控えることや、多要素認証(MFA)を導入しメモリ安全性の高いプログラミング言語を使用してソフトウェアを開発することを推奨している。
このガイダンスは、ソフトウェアの欠陥を排除し、リリース時における技術の安全性を確保するための緊急の取り組みの一環だ。CISAおよび米国国土安全保障省(DHS)は、公的記録である「Federal Register」で、2024年10月16日に製品セキュリティの推進に関する本ガイダンスを発表し(注2)、同年12月2日まで回答を求めている。
国家サイバーセキュリティ戦略の要点は、資金や専門知識、人材が不足している組織から、広く使用されるソフトウェアを開発するテクノロジー業界や大手企業へとセキュリティに関する負担を移行させることだ。
その目的は、ソフトウェアやその他の技術ツールの設計および開発段階でフロントエンドに変更を加えるところにある。これによりユーザーは、ソフトウェアの脆弱(ぜいじゃく)性を探したり、顧客のシステムに侵入してサプライチェーンを混乱させたハッカーを追跡したりする必要がなくなる。
2024年5月には、サイバーセキュリティ企業であるPalo Alto NetworksやMicrosoftを含む68のセキュリティベンダーやテクノロジーベンダーが(注3)、サイバーレジリエンスを高める取り組みを含む「セキュア・バイ・デザイン」を順守すると約束した。同年8月までに、同じ変更を約束した企業は200社以上に達した。
2024年2月には、ホワイトハウスが主導して(注4)、メモリ安全性の高いプログラミングをサポートするために業界の支持を得る試みを展開し、ソフトウェア企業のPalantir、IT企業のHPE、ERPベンダーから支持を受けた。
ソフトウェアセキュリティの専門家によると、業界は推奨される変更のほとんどを達成できるが、幾つかは重い負担となる可能性があるという。
サイバーセキュリティ事業を営むOrca Securityのニール・カーペンター氏(フィールド最高技術責任者)は、電子メールで「これらの項目の幾つかは膨大な初期投資を必要とする」と述べた。
カーペンター氏によると、コードの基礎をC++からメモリ安全性の高いプログラミング言語に移行するには膨大な作業が必要になる可能性があるという。
(注1)CISA and FBI Release Joint Guidance on Product Security Bad Practices for Public Comment(CISA)
(注2)Request for Comment on Product Security Bad Practices Guidance(National Archives)
(注3)68 tech, security vendors commit to secure-by-design practices(Cybersecurity Dive)
(注4)White House rallies industry support for memory safe programming(Cybersecurity Dive)
© Industry Dive. All rights reserved.
関連記事
サポート切れが迫るのはWin10だけじゃない? 注意しておきたいもう一つのリミット
ついにWindows 10のサポート終了まで1年を切りました。さまざまな事情があるかとは思いますが、セキュリティ的にもOSのアップグレードは必須でしょう。これに加えてもう一つ、無視できない“サポート終了”の期限が迫っているようです。イセトーのランサムウェア被害、感染経路はVPN 調査結果で明らかに
イセトーは2024年5月26日に発生したランサムウェア被害について、外部専門家によるフォレンジック調査の結果を公開した。それによると、ランサムウェアの感染経路はVPNであることが明らかになった。企業がOSSメンテナーに“ただ乗り” この風潮はいつ是正されるのか?
オープンソースソフトウェアの開発者と企業をはじめとしたソフトウェアユーザーとの間には、依然として格差が存在している。ソフトウェアユーザーが高いセキュリティ基準を求める一方で必要な投資をしないため、この風潮は変わっていない。「定期的に変更するな」 NISTがパスワードポリシーのガイドラインについて第2版公開草案を発表
NISTはパスワードに関するガイドライン「NIST Special Publication 800-63B-4」について、第2版公開草案を公開した。定期的なパスワード変更や異なる文字タイプの混在を要求しない方針を示している。