« NIST SP 800-218 セキュアソフトウェア開発フレームワーク (SSDF) Version 1.1: ソフトウェアの脆弱性のリスクを軽減するための推奨事項 | Main | NIST ホワイトペーパー :消費者向けIoT製品のサイバーセキュリティラベルの推奨規準 »

2022.02.06

NIST ホワイトペーパー: 大統領令14028条第4e項に基づくソフトウェア・サプライチェーン・セキュリティ・ガイダンス

こんにちは、丸山満彦です。

NISTが大統領令14028条第4e項に基づくソフトウェア・サプライチェーン・セキュリティ・ガイダンスを白書として発行していますね。。。

NIST SP800-218と関係します。。。

NIST

・2022.02.04 White Paper: Software Supply Chain Security Guidance Under Executive Order (EO) 14028 Section 4e

White Paper: Software Supply Chain Security Guidance Under Executive Order (EO) 14028 Section 4e ホワイトペーパー:大統領令14028条第4e項に基づくソフトウェア・サプライチェーン・セキュリティ・ガイダンス
Executive Order (EO) 14028 on Improving the Nation’s Cybersecurity, May 12, 2021, directs the National Institute of Standards and Technology (NIST) to publish guidance on practices for software supply chain security. 2021年5月12日に発令された「国家のサイバーセキュリティの向上に関する大統領令(EO)14028」は、米国標準技術研究所(NIST)に対し、ソフトウェアサプライチェーンセキュリティの実践に関するガイダンスを発行するよう指示しています。
This document starts by explaining NIST’s approach for addressing Section 4e. Next, it defines guidelines for federal agency staff who have software procurement-related responsibilities (e.g., acquisition and procurement officials, technology professionals). These guidelines are intended to help federal agency staff know what information to request from software producers regarding their secure software development practices. This document concludes with Frequently Asked Questions (FAQ) offering additional information. 本文書では、まず、セクション4eに対応するためのNISTのアプローチを説明しています。次に、ソフトウェアの調達に関連する責任を負う連邦機関のスタッフ(取得・調達担当者、技術専門家など)向けのガイドラインを定義しています。このガイドラインは、連邦政府機関のスタッフが、安全なソフトウェアの開発手法に関して、ソフトウェア製作者にどのような情報を求めるべきかを知るためのものです。本書の最後には、追加情報を提供する「よくある質問(FAQ)」が掲載されています。

 

・[PDF]

20220205-221712

 

NISTEXECUTIVE ORDER 14028, IMPROVING THE NATION'S CYBERSECURITY - Software Supply Chain Security

 

 


 

・国家のサイバーセキュリティの向上に関する大統領令(EO)14028

Sec. 4.  Enhancing Software Supply Chain Security.  第4条 ソフトウェア・サプライチェーン・セキュリティの強化 
     (e)  Within 90 days of publication of the preliminary guidelines pursuant to subsection (c) of this section, the Secretary of Commerce acting through the Director of NIST, in consultation with the heads of such agencies as the Director of NIST deems appropriate, shall issue guidance identifying practices that enhance the security of the software supply chain.  Such guidance may incorporate the guidelines published pursuant to subsections (c) and (i) of this section.  Such guidance shall include standards, procedures, or criteria regarding:       (e) 本節(c)に基づく予備ガイドラインの公表から90日以内に、NIST長官を通じて行動する商務長官は、NIST長官が適切と考える機関の長と協議の上、ソフトウェア・サプライチェーンのセキュリティを強化する慣行を示すガイダンスを発行するものとする。  当該ガイダンスは、本節(c)および(i)に従って公表されたガイドラインを組み込むことができる。  このガイダンスには、以下に関する基準、手順、または基準が含まれる。 
          (i)     secure software development environments, including such actions as:           (i) 安全なソフトウェア開発環境(以下を含む)。
              (A)  using administratively separate build environments;               (A) 管理上独立したビルド環境を使用すること。
              (B)  auditing trust relationships;               (B) 信頼関係を監査すること。
              (C)  establishing multi-factor, risk-based authentication and conditional access across the enterprise;               (C) 企業全体で多要素、リスクベースの認証及び条件付アクセスを確立すること。
              (D)  documenting and minimizing dependencies on enterprise products that are part of the environments used to develop, build, and edit software;               (D) ソフトウェアの開発、構築、編集に使用される環境の一部である企業製品への依存関係を文書化し、最小限に抑えること。
              (E)  employing encryption for data; and               (E) データの暗号化を採用すること。
              (F)  monitoring operations and alerts and responding to attempted and actual cyber incidents;               (F) オペレーションとアラートを監視し、未遂および実際のサイバー・インシデントに対応すること。
          (ii)    generating and, when requested by a purchaser, providing artifacts that demonstrate conformance to the processes set forth in subsection (e)(i) of this section;            (ii) 本節(e)(i)に定めるプロセスへの適合性を証明する成果物を作成し、購入者から要求があった場合には提供すること。 
          (iii)   employing automated tools, or comparable processes, to maintain trusted source code supply chains, thereby ensuring the integrity of the code;           (iii) 信頼できるソースコードのサプライチェーンを維持するために、自動化されたツールまたは同等のプロセスを採用することにより、コードの完全性を確保すること。
          (iv)    employing automated tools, or comparable processes, that check for known and potential vulnerabilities and remediate them, which shall operate regularly, or at a minimum prior to product, version, or update release;           (iv) 既知および潜在的な脆弱性をチェックし、それらを修正するための自動化されたツールまたは同等のプロセスを採用すること。
          (v)     providing, when requested by a purchaser, artifacts of the execution of the tools and processes described in subsection (e)(iii) and (iv) of this section, and making publicly available summary information on completion of these actions, to include a summary description of the risks assessed and mitigated;           (v) 購入者の要求に応じて、本節(e)(iii)および(iv)に記載されたツールおよびプロセスの実行結果を提供し、評価および軽減されたリスクの概要を含む、これらのアクションの完了に関する概要情報を公開すること。
          (vi)    maintaining accurate and up-to-date data, provenance (i.e., origin) of software code or components, and controls on internal and third-party software components, tools, and services present in software development processes, and performing audits and enforcement of these controls on a recurring basis;           (vi) ソフトウェア開発プロセスに存在する内部および第三者のソフトウェアコンポーネント、ツール、およびサービスに関する正確かつ最新のデータ、ソフトウェアコードまたはコンポーネントの出所(すなわち、起源)、および管理を維持し、これらの管理の監査および実施を定期的に行うこと。
          (vii)   providing a purchaser a Software Bill of Materials (SBOM) for each product directly or by publishing it on a public website;           (vii) 各製品のソフトウェア部品表(SBOM)を購入者に直接または公開ウェブサイトで提供すること。
          (viii)  participating in a vulnerability disclosure program that includes a reporting and disclosure process;           (viii) 報告と開示のプロセスを含む脆弱性開示プログラムに参加すること。
          (ix)    attesting to conformity with secure software development practices; and           (ix) 安全なソフトウェア開発手法への適合性を証明すること。
          (x)     ensuring and attesting, to the extent practicable, to the integrity and provenance of open source software used within any portion of a product.           (x) 製品の一部に使用されているオープンソースソフトウェアの完全性と出所を、実行可能な範囲で確保し、証明すること。

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.02.06 NIST SP 800-218 セキュアソフトウェア開発フレームワーク (SSDF) Version 1.1: ソフトウェアの脆弱性のリスクを軽減するための推奨事項

・2021.10.02 NIST SP 800-218 (ドラフト)セキュアソフトウェア開発フレームワーク (SSDF) Version 1.1: ソフトウェアの脆弱性のリスクを軽減するための推奨事項

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

 

|

« NIST SP 800-218 セキュアソフトウェア開発フレームワーク (SSDF) Version 1.1: ソフトウェアの脆弱性のリスクを軽減するための推奨事項 | Main | NIST ホワイトペーパー :消費者向けIoT製品のサイバーセキュリティラベルの推奨規準 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« NIST SP 800-218 セキュアソフトウェア開発フレームワーク (SSDF) Version 1.1: ソフトウェアの脆弱性のリスクを軽減するための推奨事項 | Main | NIST ホワイトペーパー :消費者向けIoT製品のサイバーセキュリティラベルの推奨規準 »