米国政府はサイバーセキュリティ政策の見直しを進めている。これには、 セキュア ソフトウェア開発フレームワーク (SSDF) バージョン 1.1 これは、ソフトウェア開発ライフサイクル (SDLC) 全体にわたるセキュリティの脆弱性を軽減することを目的とした米国標準技術研究所 (NIST) によるものです。
この文書は、ソフトウェア ベンダーおよび取得者に次のことを提供します。各 SDLC 実装に統合できる、高レベルの安全なソフトウェア開発プラクティスのコア セット。
最初のドラフトフレームワークは 2021 年 2022 月に公開され、続いて XNUMX 年 XNUMX 月に最終版が公開されました。 マイナーアップデート。 SSDF は、SDLC セキュリティに関するベスト プラクティスの推奨事項を組み合わせたものでありながら、カスタマイズ可能でセクターに依存しません。
それぞれの実践に向けた固定的な方法論を規定する文書ではありません。代わりに、特定のツール、テクニック、メカニズムではなく、結果に焦点を当てています。 SSDF はリスクベースのアプローチを推進しており、組織は参考文献やその他のリソースを参照して、どのような実践が自社の業務に関連し、どのように実装されるべきかを判断することが推奨されています。
SSDF には、次の分野に関する推奨事項が含まれています。
- 組織の人材、プロセス、テクノロジーが安全なソフトウェア開発に向けて準備されていることを確認する
- すべてのソフトウェア コンポーネントを改ざんや不正アクセスから保護する
- セキュリティの脆弱性を最小限に抑えた安全なソフトウェアのリリース
- リリース後に脆弱性を特定し、適切に対応する
推奨事項はすぐに指示に変わります
NIST は民間部門と協力して、SSDF を作成するよう指示されました。 令14028、「国家のサイバーセキュリティの向上」。この命令はまた、行政管理予算局 (OMB) に対して、発行後 30 日以内に次のように指示しています。この注文日以降に調達されたソフトウェアに関して、政府機関がそのようなガイドラインに従うことを要求する適切な措置を講じます。「
3月に7th, 2022年、OMBは次のような声明を発表した。連邦政府機関は、政府機関のリスク プロファイルと使命に合わせて SSDF と関連ガイダンスを即時に適用し始めなければなりません。」
したがって、SSDF は推奨事項のリストですが、米国政府にソフトウェアを供給するすべての組織はこれに従う必要があります。すべてのソフトウェア開発に対する法的要件ではありませんが、SSDF は依然として米国のサイバーセキュリティ政策において重要な一歩を表しています。
外部ソフトウェアの大量消費者である米国政府の購買力により、これらの推奨事項が他の業界にも浸透し、米国におけるソフトウェア開発の標準になると想定されます。その結果、米国政府への申請を検討している組織はすべて契約は必ず SSDF を遵守する方法を学ぶ, 米国での事業運営を成功させたいと考えている組織も同様に準拠する必要があるでしょう。
サイバーセキュリティの優先事項に関する OMB メモ
米国のサイバーセキュリティ政策における新たな展開は SSDF だけではありません。米国政府は最近、ゼロトラストアプローチの導入やレガシーITシステムの最新化など、新たな優先事項を重視するよう政府機関に要請した。
大統領令 14028 に続き、OMB と国家サイバー局長室 (ONCB) は、 メモ 7月22上nd, 2022年には、2024会計年度の予算提出に向けた米国政府の省庁横断的なサイバー投資の優先事項の概要が示されています。
これは、連邦文民行政府 (FCEB) 機関が投資すべき 3 つの優先事項を概説しています。OMB と ONCD は、各機関の対応を検討し、フィードバックを提供して、「優先事項は適切に対処され、全体的なサイバーセキュリティ戦略とポリシーと一致しており、通常の予算プロセスを通じて政府機関の複数年計画を支援します。「
サイバー投資の優先事項は次の 3 つです。
#1: 政府ネットワークの防御と回復力の向上
メモではFCEB各機関に優先順位を付けるよう求めている ゼロトラストの実装 & ITの最新化.
ゼロトラスト セキュリティ モデルは、すべてのユーザーまたはデバイスがデフォルトでは信頼されない IT システムの実装を記述します。一般的なアーキテクチャでは、一度検証した後、ユーザーまたはデバイスがネットワークにアクセスできるようにします。対照的に、ゼロトラスト アーキテクチャでは、システム内のあらゆるものを検証します。
連邦ゼロトラスト戦略は独自の文書で概説されています OMBメモ、26月XNUMX日発売thこの戦略では、すべての政府機関が 2022 会計年度末までに特定のゼロトラスト目標を達成することが求められています。
それは「最小特権の原則、攻撃対象領域の最小化、および政府機関の境界が侵害されていると見なすべきという前提に基づいた保護の設計に基づいた、サイバーセキュリティの一貫した企業全体のベースラインを達成するに設立された地域オフィスに加えて、さらにローカルカスタマーサポートを提供できるようになります。」
これは政府機関にとって重要な変化です。今後、政府機関は、使用するすべてのソフトウェア (社内で構築されたか、外部ベンダーから調達されたかにかかわらず) を分析して、ゼロトラスト セキュリティ要件を満たしていることを確認する必要があります。
IT の最新化とは、政府機関が利用するかなりの数のレガシー システムと、政府機関が負う技術的負債を指します。 2024年予算案提出」システムのライフサイクル全体だけでなく、設計段階でも統合されたセキュリティを実現するテクノロジーの最新化を優先する必要があります。」
下記が含まれます:
- ゼロトラスト アーキテクチャを活用した安全なクラウド インフラストラクチャの導入を加速する
- 連邦政府が共有する製品、サービス、標準を導入して安全な顧客エクスペリエンスを強化する
- 共有セキュリティ技術を使用し、国土安全保障省の継続的診断および軽減プログラムに参加する
- セキュリティチームとIT運用チームの間で認識を共有する
- アジャイル開発プラクティスの使用と SSDF の統合
#2: 重要インフラの防衛における分野間の連携を深める
現代のサイバー脅威から保護するには、民間部門と公共部門の間の多大な協力が必要です。 OMBはFCEBに対し、セクターリスク管理庁(SRMA)の責任を優先し、サイバーセキュリティセンターを通じて情報を共有することでパートナーシップを構築するよう求めている。
政府機関は、潜在的な脅威を軽減するために、重要インフラ所有者とのコラボレーションを促進する方法とメカニズムの構築を優先する必要があります。 SRMA は、次のような予算要求も提出する必要があります。9002 年国防権限法第 2021 条に基づく責任を果たすための適切なリソースを反映する。具体的には、提出物は次のことを行う必要があります。
- SRMA がサイバーセキュリティ・インフラストラクチャー・セキュリティ庁 (CISA) および他の SRMA と緊密に連携できるようにする
- 政府と業界が情報交換できるようにする
- 各部門の国家安全保障リスクに対する理解を向上させる
#3: デジタル対応の未来の基盤を強化する
最後の優先事項では、米国経済のさらなるデジタル変革に伴い、物理的インフラ、人的資本、サプライチェーンのリスクを優先するようFCEBに求めている。
- 物理インフラストラクチャ
最近のインフラ投資および雇用法 (IIJA) は、米国政府による巨額の投資を表しています。 OMBはFCEB各機関に対し、インフラをサイバー攻撃から守る取り組みへの支援を求めている。これには、サイバーセキュリティ標準の開発や新しいプロジェクトへの技術サポートの提供が含まれます。
- 人的資本
サイバー脅威に対抗するために、政府機関は、より広範な従業員全体のデジタル能力を促進する IT 人材と新しいツールに投資することが奨励されています。
- ソフトウェアサプライチェーンのリスク
ソフトウェアサプライチェーンのセキュリティ サイバーセキュリティリスクが増大しつつあります。その結果、連邦政府機関は現在、特に情報通信技術およびサービス (ICTS) 分野の機関に対して、買収の際にサプライチェーンリスク管理 (SCRM) イニシアチブを確立することが求められています。この要件は 2023 年末に期限切れになる予定ですが、 法案は保留中 それは2026年まで延長されます。
政府機関は昨年の SCRM 投資を維持し、新たなリソースをターゲットにすることが期待されています。連邦政府の調達能力を構築するだけでなく、政府は国家的な ICTS サプライチェーンのリスクに対処する上でも重要な役割を果たしています。
OMB のメモには次のように書かれています。2024会計年度の予算案提出において、政府機関は、米国の経済安全保障と国家安全保障に対する不当または容認できないレベルのリスクを軽減するための国家的取り組みを支援する投資を強調する必要がある。これには、以下に関する投資が含まれます。 令13873、「情報通信技術およびサービスのサプライチェーンの確保」。
米国のサイバーセキュリティ政策は急速に進んでいます。追いつく準備はできていますか?
サイバーセキュリティの需要が高まる中、米国での事業展開を検討しているソフトウェア開発会社は、新しいガイドラインに確実に適応できるようにする必要があります。
SSDF はすでに施行されており、組織は従うことが求められる新しいソフトウェア開発ガイドラインを学ぶ必要があります。 SSDF は、透明性を促進しながら、SDLC 全体で脆弱性や不正アクセスへの露出を減らすさまざまな対策を推進しています。これも:
- アーティファクトの検証
- アーティファクトにデジタル署名する
- ファイルの変更を追跡し、証拠を生成する
- 最終的なソフトウェア成果物内のすべてのコンポーネントを検証する
サイバー投資の優先事項に関する最新の OMB メモでは、SSDF の導入を改めて強調するだけでなく、政府機関向けのさまざまな優先事項も提示されています。ソフトウェア開発者にとって最も重要なことは、FCEB が使用するソフトウェア全体にゼロトラスト アーキテクチャを実装することです。このメモは 2024 年に発効するため、製品を適応させる必要がある組織には準備にあまり時間がありません。
OMB メモで概要が示された新しい要件は、FCEB 機関との契約の調達を検討している組織にのみ適用されますが、移動の方向性は、大統領令 14028 に概要が示されているように、新しいサイバーセキュリティ ガイドラインがすべての連邦請負業者に採用される可能性が高いことを示唆しています。
適応が遅い組織は、米国政府や潜在的に他の米国顧客からのビジネスを逃すリスクがあります。今こそ、ゼロトラスト セキュリティ モデルを実装し、SSDF のベスト プラクティスを学ぶ時期です。
まとめ
米国政府はサイバーセキュリティ政策に関して大きな前進を見せています。 SSDF はすでに施行されており、OMB の新しいサイバー優先事項が 2024 年に発効するため、米国での事業継続を検討している組織は、学習して準拠する必要のある複数の新しいガイドラインを抱えています。
このコンテンツは、エンドツーエンドのソフトウェア サプライ チェーン セキュリティ ソリューションの大手プロバイダーである Scribe Security によって提供されており、ソフトウェア サプライ チェーン全体のコード成果物とコード開発および配信プロセスに最先端のセキュリティを提供しています。 もっと詳しく知る。
関連記事
