2023 年 XNUMX 月、ホワイトハウスは新しい声明を発表しました。 国家サイバーセキュリティ戦略。この戦略は、公共部門と民間部門の両方のすべてのアメリカ人のサイバーセキュリティを向上させるためにホワイトハウスが重要であると考える5つの柱のリストを概説しています。 XNUMX 番目の柱は、セキュリティと回復力を向上させるために市場の力を形成する推進力を扱います。そのリストの一部には、あまりにも多くのソフトウェア制作者がサイバーセキュリティや適切なテストに適切に投資せず、契約による責任を回避しているという考えがある。ユーザー契約の小さな文字には、次のような記述がよく見られます。「ライセンシーは、第三者による請求から生じるすべての損失、コスト、出費、または責任(合理的な弁護士費用を含む)からライセンサーを補償し、免責することに同意します。」ライセンシーによるソフトウェアの使用に基づいてライセンサーに対抗します。」 (続きを見る こちら)
大企業にはそのような契約を強制する権限と資金があるが、ホワイトハウスは、ソフトウェアとハードウェアの製造者が、自社が製造するソフトウェアとハードウェアに対する最終的な責任があると考えている。戦略文書から引用すると、「責任は、安全でないソフトウェアの結果を負うことが多いエンドユーザーやコンポーネントのオープンソース開発者ではなく、悪い結果を防ぐための行動を最も取れる利害関係者に負わされるべきです。」商用製品に組み込まれています。」
ホワイトハウスは、ソフトウェア製品およびサービスに対する責任を確立する法律の制定を提案しています。これまでまさにその種の法的問題を回避するために、責任転嫁や曖昧なユーザー契約に依存してきた企業にとって、このような責任は恐ろしいものに聞こえるかもしれない。このような主張がアメリカの法制度に提出されやすいことを考えると、さらに当惑させられる。
これらすべての強力な企業にアメを提供するために、この戦略は、ソフトウェアを保護するためにやるべきことをすべて行ったことを証明できる企業を責任から守るセーフハーバーフレームワークの進歩を提案しています。セーフハーバーという用語は文書内に 2 回だけ登場します。おそらく、この提案されたフレームワークとは一体何なのか、どこから来たのか、現在どのような用語がカバーされているのか、またはカバーされることが提案されているのか疑問に思われるかもしれません。
この記事では、既存のセーフハーバー法を調査し、それらが現在どこに適用され、それらを遵守する企業に何を提供するのかを見ていきます。
現行のセーフハーバー法とは何ですか?現在セーフハーバーを提供している法律を調査する
今日の時点で、いくつかの州が導入しています データ侵害 訴訟「セーフハーバー」法。企業がサイバーセキュリティに積極的に取り組むことを奨励する目的で、データ侵害に起因する責任に対して積極的な防御を提供します。セーフハーバー保護の資格を得るには、組織は業界で認められたベスト プラクティス標準に準拠したサイバーセキュリティ プログラムを実装および維持し、侵害の際にそれらへの合理的な準拠を実証できなければなりません。
オハイオ 2018年にサイバーセキュリティの積極的防御を可決した最初の州となった。 コネチカット と ユタ州 同様のセーフハーバー法が他のいくつかの州でも提案されています。特に、2021 年にはアイオワ州とニュージャージー州が、2020 年にはジョージア州とイリノイ州が こちら 詳細については)。これらの提案はすべて、サイバーセキュリティ プログラムを持つ企業に積極的な防御策を提供しますが、正確な条件は州によって異なります。たとえば、コネチカット州、オハイオ州、ユタ州の法案で言及されている業界標準の枠組みは、ジョージア州の法案には具体的に記載されていません。その代わり、ジョージア州法は、企業の規模、複雑さ、保護される情報の機密性を考慮した「合理的な」枠組みを義務付けている。この戦略は他の州の法律の重要な要素であるが、ジョージア州の法案では選択肢をそれらの特定の枠組みに制限しない決定を下したようだ。
受け入れられる標準という観点から見ると、現在米国で最も一般的なサイバーセキュリティ フレームワークは NIST の SSDF (NIST 800-218)そしてこの枠組みはホワイトハウスの戦略文書でも言及されています。
これらのいずれの場合でも、責任からの保護は絶対ではないことに注意することが重要です。組織が脅威や脆弱性を知っていながら、それに適切なタイミングで対処する適切な措置を講じず、データ侵害につながった場合、セーフハーバーを防御として使用することはできません。全体として、この法律の背後にある考え方は、企業が自社を守るためにベストプラクティスを実践することを奨励することです。業界で認められたベストプラクティスで求められる最低限のことさえ怠った場合、データ侵害が必然的に発生したときに責任を免れることはできません。
このサイバーセキュリティ戦略における CISA の役割は何ですか?
2023 年 XNUMX 月、CISA はソフトウェア セキュリティに関する新しい共同ガイドをリリースしました。 サイバーセキュリティ リスクのバランスを変える: 設計によるセキュリティとデフォルトの原則。この政策ガイドはホワイトハウスの戦略文書発表から約1カ月後に発表されており、その影響力がはっきりと見て取れる。世界中のいくつかのサイバーセキュリティ機関の支援を受けて、CISA はホワイトハウスが提案しているのと同じアプローチを採用し、それを世界規模にすることを目指しています。ガイドが目指すのは、 ソフトウェアメーカーは徹底した透明性を活用して自社の製品とコードに責任を負い、安全な製品を構築し、設計上安全でデフォルトでも安全な製品を開発します。
コンポーネントに関して知っておくと役立つもう 1 つの情報層は、コンポーネントのライセンスです。多くのオープンソース コンポーネントには、商用利用と互換性のないライセンスが付属しています。すべてのオープンソース コンポーネント (自分でインクルードせずに他のコンポーネントにインクルードされたものであっても) が、ライセンスの観点から作成しようとしているものと互換性があることを確認することが重要です。
これらの基本的な考え方は CISA ガイドで拡張されており、ソフトウェア開発者に製品の安全性を高めるための実用的な推奨事項の長いリストも提供されています。
これらの特定の推奨事項のどれだけが以下に基づいているかを見るのは興味深いことです。 NIST の SSDF フレームワーク しかし、それは自発的ではなく、より実践的な方法で表現されています。たとえば、このガイドでは、ソフトウェア開発者は、 an SBOM SDLC に統合して、ソフトウェアのコンポーネントを可視化します。 SSDF は SBOM を推奨していますが、明確な必須の指示としては決して言及されていません。
責任転換の合法化
国家サイバーセキュリティ戦略、または少なくともその一部では、既存の州法に基づいて、より広範囲かつ包括的な統一セーフハーバー フレームワークを作成することが提案されています。まず、現行法はデータ侵害の場合の責任からの保護のみを提供しています。提案された枠組みは、訴追される企業が SSDF などの既存のベストプラクティスへの準拠を証明できる限り、サイバーインシデントに対するあらゆる責任に対して機能します。
提案されたフレームワークは適応性があり、新しいセキュリティ フレームワークや新しいベスト プラクティスが発見され実装されるたびにそれらを組み込むように進化できる必要があります。この戦略では、セキュリティ開示プログラムや追加の SBOM ツールとユースケースの開発への投資を継続することを提案しています。
ソフトウェア エコシステムは、重大な責任の転換がなければ、これまでのように進歩し続けることはできません。開発者もユーザーも同様に、最初のアイデアと設計段階から、あらゆるソフトウェア製品においてセキュリティが最優先されることは明らかです。セキュリティは、開発完了後に後付けで追加されるものであってはなりません。責任転換は民間部門なしでは起こり得ず、この部門は連邦政府の強圧的な関与を嫌うことで有名であるため、「刑務所から自由に脱出」カードの形で「ニンジン」を提供するというアイデアは良い動機となる。 。
サイバーセキュリティのベストプラクティスへの準拠を証明する方法
「既存のベストプラクティスの順守を証明する」必要があるという法律があるのは良いことですが、どのように対処しますか? 現在の米国の規制と SSDF などのベスト プラクティスは、ソフトウェア製作者が アテステーション サプライチェーンを確保するために したがって、 そのような証拠を提供すること。
証明書は、検証可能な暗号署名された証拠 (ファイル、フォルダー、リポジトリ、ファイルの出所、テスト結果など) です。このような証拠は、特定の環境コンテキストに関連付けられる必要があり、証明書は、証言されたイベントまたはファイルの存在を証明するために検証できる不変の証拠となります。
Scribe は というツールを提供しています ヴァリント これは、証拠を生成し、証明書に署名し、後で取得して検証する機能を提供します。このツールを併用すると、 スクライブハブプラットフォーム 最終製品だけでなく、そこに至るまでのビルドごとに証明書の証拠証跡を生成し、ビルド完了直後などの特異点ではなく、継続的かつ長期的にセキュリティのベストプラクティスを順守していることを実証できます。 。
Scribe は Valint の使用を無料で提供し、そのプラットフォームの使用をフリーミアム ベースで提供しています。今すぐ無料で実験を開始できます。 Scribe を無料で試してみる どのようなツールや機能が提供されるのかを確認してください。ビルドごとにそのような証拠を継続的に収集すると、長期にわたる製品のセキュリティについて独自の視点を得ることができます。蔓延する変化の風がソフトウェア制作者の責任拡大を指しているように見えるため、法律として成文化されるのを待つのではなく、今すぐ確実な証拠と証言の収集を始めるのが得策のように思えます。
このコンテンツは、エンドツーエンドのソフトウェア サプライ チェーン セキュリティ ソリューションの大手プロバイダーである Scribe Security によって提供されており、ソフトウェア サプライ チェーン全体のコード成果物とコード開発および配信プロセスに最先端のセキュリティを提供しています。 詳しくはこちら。