米国政府がソフトウェア要件の変更を計画中 新興ベンダーに大きなチャンス:Cybersecurity Dive
米国国防総省は、購入するソフトウェアに対して新たなセキュリティ要件と承認プロセスを策定する予定だ。この変更はソフトウェア調達プロセスの迅速化を目的としたもので、スタートアップのITベンダーにとっては大きなチャンスとなる。
米国国防総省(DOD)は、ソフトウェア調達の承認プロセスを効率化しようとしている。DODは2025年5月5日(現地時間、以下同)、「Software Fast Track Initiative(ソフトウェアを迅速に導入する取り組み)」を発表し(注1)、ソフトウェアベンダーがDODに製品を販売するために満たすべき新たな要件を定めると明らかにした。
米国政府がソフトウェア要件の変更を計画中 新興ベンダーに大きなチャンス
この取り組みは、トランプ政権がバイデン政権時代のソフトウェアセキュリティプログラムをどう扱うかを検討している中で打ち出されたものだ。
トランプ政権のサイバー政策に関する最大の疑問は、民間ベンダー向けの証明プロセスを含む(注2)、バイデン政権時代のソフトウェアセキュリティプログラムをどう扱うかだ。トランプ政権のチームは、クラウドセキュリティに関する審査プログラム「FedRAMP」の変更に着手しており(注3)、自動化の強化や待機時間の短縮を目指している。Software Fast Track Initiativeは、こうした取り組みを軍の調達分野にも広げるものだ。
DODのCIO(最高情報責任者)代理であるケイティ・アリントン氏は、2025年4月24日に内部向けに発表したメモに「長期化し時代遅れとなったサイバーセキュリティに関する認可プロセスは、柔軟性が高く継続性を備えたデリバリーを妨げている」と記した(注4)。また、同氏は審査されていないオープンソースソフトウェアを政府が使用することの危険性についても警鐘を鳴らした。
この新たな取り組みの一環として、DODは今後90日間でソフトウェアが満たすべきサイバーセキュリティおよびサプライチェーンリスク管理の要件、それらの要件をソフトウェアが満たしていることを検証するプロセス、企業が軍と証明情報を安全に共有する方法、「安全かつ迅速なソフトウェア導入」のためにサイバーセキュリティ認可を迅速化する政府主導のリスク判定プロセスなどの内容を定める予定だ。
DODは2025年5月5日、この取り組みに必要なツールを提供できるかどうかを見極めるため、技術業界を対象とした3件の情報提供要請書(RFI)を公開した(注5)(注6)(注7)。
DODは長年続いてきたソフトウェアの承認プロセスを廃止することに関心を持っており、現行のシステムで苦労してきた新規ベンダーにチャンスをもたらす可能性がある。特にこのプログラムは、スタートアップ企業に恩恵をもたらすだろう(注8)。新興企業は大規模な競合他社よりも、将来の変化に機敏に対応できる可能性が高いためだ。
しかし調達プロセスの迅速化はセキュリティリスクを招く可能性もある。新たな調達プログラムにおいて、セキュリティがどの程度重視されるかはまだ明らかではない。ただし、米国政府関係者が以前からサプライチェーンの健全性を懸念してきたことを踏まえると(注9)、今回のプロセスではサプライチェーンの透明性が重視される可能性が高く、中国やその他の敵対国と無関係な企業にとって有利に働くと考えられる。今回の発表では、既存のプロセスにはサプライチェーンの可視性がほとんどないとの批判がなされた。
(注1)Software Fast Track Initiative(U.S. Department of Defense)
(注2)Secure Software Development Attestation Form(CISA)
(注3)GSA announces FedRAMP 20x(GSA)
(注4)DEPARTMENT OF DEFENSE(CLEARED For Open Publication)
(注5)RFI for DoD CIO for SWFT Tools(SAM.gov)
(注6)RFI for DoD CIO for SWFT External Assessment(SAM.gov)
(注7)RFI for DoD CIO for SWFT AI(SAM.gov)
(注8)Pentagon needs to ‘divest to invest,’ embrace more nimble procurement: Defense Innovation Board(Breaking Defense)
(注9)FACT SHEET: Safeguarding America from National Security Risks of Connected Vehicle Technology from China and Russia(The White House)
© Industry Dive. All rights reserved.
関連記事
NECが仕掛ける“自社ビルSOC”は何がスゴイのか? 新施設をのぞいてみた
NECは「.JP(日本のサイバー空間)を守る」をスローガンに、サイバーセキュリティ事業のさらなる強化を図るという。その一環として、KDDIとの協業に加えて“自社ビル”でのグローバルSOC構築に向けて新施設を公開した。そのメリットとは何か。
日本を標的にした大規模フィッシングキャンペーンが激増 その高度な手口
Proofpointは、日本を標的とした大規模な「CoGUI」フィッシング攻撃を観測した。攻撃者は楽天やPayPayなどの有名ブランドを装い、ユーザーから個人情報を盗み取ろうとしている。
Cursor AIを狙ったサイバー攻撃が横行 3200件以上のダウンロードを確認
人気の次世代AIコードエディター「Cursor AI」を標的とした悪意あるnpmパッケージが見つかった。インストール後に認証情報を窃取し、エディターの内部コードを改ざんするという。3200件以上のダウンロードが確認されているため注意が必要だ。
大荒れのサイバー空間 激増するフィッシングに対抗する3つの防御策
フィッシング攻撃が激増しています。対策としては事業者側での多要素認証の導入などが挙がっているものの、これを回避する事例なども話題になっており十分とはいえません。大荒れするサイバー空間で個人ができることはあるのでしょうか。