NIST ソフトウェアサプライチェーンにおける「クリティカル・ソフトウェア」の定義:大統領令14028に応えて...
こんにちは、丸山満彦です。
国家のサイバーセキュリティ向上に関する大統領令 (EO 14028) の命令に応えて、NISTが重要なソフトウェアの定義を公開していますね。。。これはサプライチェーン・セキュリティのための管理の強化としてソフトウェアの脆弱性の管理や意図せざる変更の検知の観点からソフトウェアの部品表(SBOM; Software Bill of Material)を作るという対策が考えられるが、社会全体の効率性を考慮した場合に重要なソフトウェアに限定してまずは義務化していこうという話だと思います。。。
ということで、クリティカル・ソフトウェアの定義をNISTに作成しろという御下命(Sec. 4. (g))があったので、NISTが作成をしたということです。。。
クリティカルというのは、ソフトウェアの機能を見たときにクリティカルということですね。。。なので、特権管理ソフトなどが該当しますね。。。
で、本番システム用に購入、実装され、運用目的で使用されるソフトウェアで、実稼働システムに実装されていない、研究用、テスト用ソフトウェアは、この定義の範囲外ということのようです。
会計監査の時に重要視するものと同じようなものですね。。。
● NIST - ITL - Exective Order
同じ内容でPDFになっています。。
・[PDF]
で、定義ですが...
EO-critical software is defined as any software that has, or has direct software dependencies upon, one or more components with at least one of these attributes: | EO-クリティカル・ソフトウェアとは、以下の属性を少なくとも1つ持つ単独または複数のコンポーネントからなるソフトウェア、またはそれらのコンポーネントに直接依存するソフトウェアと定義されます。 |
・is designed to run with elevated privilege or manage privileges; | ・昇格権限または管理権限で動作するように設計されている。 |
・has direct or privileged access to networking or computing resources; | ・ネットワーキングやコンピューティングのリソースに直接または特権的にアクセスできる。 |
・is designed to control access to data or operational technology; | ・データまたは運用技術へのアクセスを制御するよう設計されている。 |
・performs a function critical to trust; or, | ・信頼に不可欠な機能を果たしている。 |
・operates outside of normal trust boundaries with privileged access. | ・通常の信頼の境界外で、特権的なアクセスで動作する。 |
製品リストは後日CISAがリストを提供することになっていますが、現段階では次の11のカテゴリーが暫定的に示されていますね。。。
Category of Software | ソフトウェアのカテゴリー |
01. Identity, credential, and access management (ICAM) | 01. アイデンティティ、クレデンシャル、およびアクセス管理(ICAM) |
02. Operating systems, hypervisors, container environments | 02. オペレーティングシステム、ハイパーバイザー、コンテナ環境 |
03. Web browsers | 03. ウェブブラウザ |
04. Endpoint security | 04. エンドポイントセキュリティ |
05. Network control | 05. ネットワーク制御 |
06. Network protection | 06. ネットワーク保護 |
07. Network monitoring and configuration | 07. ネットワークの監視と設定 |
08. Operational monitoring and analysis | 08. 運用監視・分析 |
09. Remote scanning | 09. 遠隔スキャン |
10. Remote access and configuration management | 10. 遠隔アクセスおよび構成管理 |
11. Backup/recovery and remote storage | 11. バックアップ/リカバリー、遠隔ストレージ |
FAQも参考になりますね。。。
参考の仮訳です。
・[DOC] 仮訳
■ 参考
●まるちゃんの情報セキュリティ気まぐれ日記
大統領令はここで仮訳しています。。。
・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令
今回の公表についての頭出しのような内容です。。。
・2021.06.02 米国 国家のサイバーセキュリティ向上に関する大統領令 (EO 14028) に基づくソフトウェアサプライチェーン管理に関係して。。。
« 欧州委員会 合同サイバーユニットを提案 | Main | フロリダ州 SB 7072: Social Media Platforms(ソーシャルメディア・プラットフォーム)法に署名(at 2021.05.24) »
Comments