米国 国家のサイバーセキュリティ向上に関する大統領令 (EO 14028) に基づくソフトウェアサプライチェーン管理に関係して。。。
こんにちは、丸山満彦です。
カーネギーメロン大学のソフトウェア工学研究所のブログに国家のサイバーセキュリティ向上に関する大統領令 (EO 14028) に基づくソフトウェアサプライチェーン管理に関係した記事が公表されていましたので、紹介です。。。
2021.05.12に国家のサイバーセキュリティ向上に関する大統領令 (EO 14028) が公表され、このブログでも紹介しています。。。いくつかの指示の中にSec. 4. Enhancing Software Supply Chain Security(第4節 ソフトウェア・サプライチェーン・セキュリティの強化 )という内容があります。この節では、NISTに対していくつかの命令が出されています。それに応えるために、NISTは、2021.05.17にパブコメを募集しています(締め切りは2021.05.26で既に終了しています)。
募集している内容は、
1. Criteria for designating "critical software.” Functional criteria should include, but not be limited to, level of privilege or access required to function, integration, dependencies, direct access to networking and computing resources, performance of a function critical to trust, and potential for harm if compromised. | 1. "クリティカル・ソフトウェア "を指定するための基準。 機能的な基準には、機能に必要な特権やアクセスのレベル、統合性、依存性、ネットワー クやコンピューティングリソースへの直接アクセス、信頼に不可欠な機能の実行、侵害された 場合の被害の可能性などが含まれるが、これらに限定されるものではない。 |
See EO Section 4(g). | EO 第4節(g)を参照 |
2. Initial list of secure software development lifecycle standards, best practices, and other guidelines acceptable for the development of software for purchase by the federal government. This list of standards shall include criteria and required information for attestation of conformity by developers and suppliers. | 2. 連邦政府が購入するソフトウェアの開発に受け入れられる、安全なソフトウェア開発ライ フサイクル基準、ベストプラクティス、その他のガイドラインの初期リスト。 この標準リストには、開発者と供給者が適合性を証明するための基準と必要な情報が含まれている。 |
See EO Section 4(e)(i, ii, ix, and x). | EO 第4節(e)(i, ii, ix, and x)を参照 |
3. Guidelines outlining security measures that shall be applied to the federal government’s use of critical software, including but not limited to, least privilege, network segmentation, and proper configuration. | 3. 連邦政府がクリティカル・ソフトウェアを使用する際に適用されるセキュリティ対策を概説したガイドライン(最少特権、ネットワークセグメンテーション、適切な構成を含むがこれに限定されない)。 |
See EO Section 4(I). | EO 第4節(I)を参照 |
4. Initial minimum requirements for testing software source code including defining types of manual or automated testing (such as code review tools, static and dynamic analysis, software composition tools, and penetration testing), their recommended uses, best practices, and setting realistic expectations for security benefits. | 4. ソフトウェアのソースコードをテストするための初期の最小要件(手動または自動のテスト(コードレビューツール、静的・動的解析、ソフトウェア構成ツール、侵入テストなど)の種類、推奨される使用方法、ベストプラクティス、セキュリティ上の利点に対する現実的な 期待値の設定などの定義を含む) |
See EO Sections 4(e)(iv and v) and 4(r). | EO 第4節(e)(iv and v) 、4(r)を参照 |
5. Guidelines for software integrity chains and provenance. | 5. ソフトウェア・インテグリティ・チェーン及び出所に関するガイドライン |
See EO Sections 4(e)(ii, vi, and viii). | EO 第4節(e)(ii, vi, and viii)を参照 |
これについてのコメントをブログで公表しています。。。
● Carnegie Mellon University - Software Engineering Institute - Blog
・2021.06.01 CERT/CC Comments on Standards and Guidelines to Enhance Software Supply Chain Security by JONATHAN SPRING
興味深い内容です。。。
政府は重要なソフトウェアを取得する場合は、サプライヤから SBOM を要求すべきという方向に行きますかね。。。
■ 参考
大統領令
・2021.05.12 Executive Order on Improving the Nation’s Cybersecurity
・2021.05.12 Improving the Nation's Cybersecurity (EO) 14028
● まるちゃんの情報セキュリティ気まぐれ日記
・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令
NISTの意見募集
● NIST - ITL - Executive Order
・2021.05.17 Workshop and Call for Position Papers
Workshop and Call for Position Papers on Standards and Guidelines to Enhance Software Supply Chain Security
Comments