米国 行政管理予算局 (0MB) ソフトウェアサプライチェーンのセキュリティ強化 を公表
こんにちは、丸山満彦です。
米国 行政管理予算局 ソフトウェアサプライチェーンのセキュリティ強化 を公表していますね。。。これは、昨年5月に発表された大統領令14028に関連するものですね。。。
・2022.09.14 Enhancing the Security of the Software Supply Chain to Deliver a Secure Government Experience
Enhancing the Security of the Software Supply Chain to Deliver a Secure Government Experience | ソフトウェアサプライチェーンのセキュリティを強化し、安全なガバメントエクスペリエンスを提供する |
By Chris DeRusha, Federal Chief Information Security Officer and Deputy National Cyber Director | 連邦政府最高情報セキュリティ責任者兼国家サイバー副長官 Chris DeRusha氏より |
The Biden-Harris Administration is committed to delivering a Government that works for all Americans – and technology powers our ability to do so. In order for Federal agencies to provide critical services, information, and products to the American people, they need access to secure and reliable software that manages everything from tax returns to veteran’s health records. | バイデン-ハリス政権は、すべてのアメリカ人のために機能する政府を実現することに尽力しており、テクノロジーはそのための能力を後押ししている。連邦機関が重要なサービス、情報、製品を米国民に提供するためには、納税申告から退役軍人の健康記録まであらゆるものを管理する安全で信頼できるソフトウェアにアクセスする必要がある。 |
That’s why today, building on the President’s Executive Order on Improving the Nation’s Cybersecurity, the Office of Management and Budget is issuing guidance to ensure Federal agencies utilize software that has been built following common cybersecurity practices. | このため、本日、国家サイバーセキュリティの改善に関する大統領令に基づき、行政管理予算局は、連邦機関が一般的なサイバーセキュリティ慣行に則って構築されたソフトウェアを確実に利用できるようにするためのガイダンスを発行している。 |
Not too long ago, the only real criteria for the quality of a piece of software was whether it worked as advertised. With the cyber threats facing Federal agencies, our technology must be developed in a way that makes it resilient and secure, ensuring the delivery of critical services to the American people while protecting the data of the American public and guarding against foreign adversaries. | 少し前までは、ソフトウェアの品質を判断する基準は、文字通りに動くかどうかだけでした。連邦機関が直面しているサイバー脅威を考えると、私たちのテクノロジーは、米国民のデータを保護し、外国の敵対者から守りながら、米国民に重要なサービスを確実に提供するために、レジリエンスと安全性を高める方法で開発されなければならない。 |
This is not theoretical: foreign governments and criminal syndicates are regularly seeking ways to compromise our digital infrastructure. In 2020, a number of Federal agencies and large corporations were compromised by malicious code that was added into SolarWinds software. This small change created a backdoor into the digital infrastructure of Federal agencies and private sector companies. This incident was one of a string of cyber intrusions and significant software vulnerabilities over the last two years that have threatened the delivery of Government services to the public, as well as the integrity of vast amounts of personal information and business data that is managed by the private sector. | これは机上の空論ではない。外国政府や犯罪組織は、私たちのデジタルインフラを侵害する方法を定期的に探し求めている。2020年、多くの連邦機関や大企業が、SolarWindsソフトウェアに追加された悪質なコードによって危険にさらされた。この小さな変更が、連邦機関や民間企業のデジタル・インフラへのバックドアを作り出したのである。この事件は、過去2年間に相次いだサイバー侵入やソフトウェアの重大な脆弱性の一つで、国民への政府サービスの提供や、民間企業が管理する膨大な量の個人情報およびビジネスデータの完全性を脅かすものでした。 |
In response to these threats, President Biden signed a historic Executive Order to ensure Federal agencies implement rigorous, modern cybersecurity protections for our systems and data. Part of this shift includes the release of today’s guidance, which will ensure that millions of lines of code that underpin Federal agencies’ work are built with industry security standards in place. The guidance, developed with input from the public and private sector as well as academia, directs agencies to use only software that complies with secure software development standards, creates a self-attestation form for software producers and agencies, and will allow the federal government to quickly identify security gaps when new vulnerabilities are discovered. | これらの脅威に対応するため、バイデン大統領は、連邦政府機関が我々のシステムとデータのために厳格で最新のサイバーセキュリティ保護を実施することを保証する歴史的な大統領令に署名した。この転換の一環として、本日のガイダンスの発表があり、連邦機関の業務を支える何百万行ものコードが、業界のセキュリティ基準に従って構築されていることを確認することになる。官民および学界の意見を取り入れて作成されたこのガイダンスは、安全なソフトウェア開発基準に準拠したソフトウェアのみを使用するよう機関に指示し、ソフトウェアメーカーと機関のための自己証明書を作成し、新しい脆弱性が発見されたときに連邦政府が迅速にセキュリティギャップを特定できるようにするものである。 |
By strengthening our software supply chain through secure software development practices, we are building on the Biden-Harris Administration’s efforts to modernize agency cybersecurity practices, including our federal ‘zero trust’ strategy, improving our detection and response to threats, and our ability to quickly investigate and recover from cyber-attacks. It is part of a larger enterprise cybersecurity and information technology (IT) modernization plan that ensures we can deliver a simple, seamless, and secure customer experience. | 安全なソフトウェア開発の実践を通じてソフトウェアのサプライチェーンを強化することで、バイデン=ハリス政権による連邦政府の「ゼロ・トラスト」戦略を含む省庁のサイバーセキュリティ実践の近代化、脅威の検知と対応、サイバー攻撃からの迅速な調査と復旧の能力向上への取り組みを基礎としている。これは、シンプルでシームレス、かつ安全な顧客体験を提供するための、より大きなエンタープライズ・サイバーセキュリティと情報技術(IT)近代化計画の一部である。 |
The guidance released today will help us build trust and transparency in the digital infrastructure that underpins our modern world and will allow us to fulfill our commitment to continue to lead by example while protecting the national and economic security of our country. | 本日発表されたガイダンスは、現代社会を支えるデジタル・インフラの信頼性と透明性を高めるのに役立ち、我が国の国家と経済の安全を守りながら、模範となる行動を取り続けるという約束を果たすことができるようになるでしょう」と述べている。 |
・[PDF] M-22-18 MEMORANDUM FOR THE HEADS OF EXECUTIVE DEPARTMENTS AND AGENCIES
・[DOCX] 仮訳
Software Supply Chain関係...
● まるちゃんの情報セキュリティ気まぐれ日記
・2022.07.26 NIST White Paper (Draft) [プロジェクト概要] ソフトウェアサプライチェーンとDevOpsセキュリティの実践:リスクベースのアプローチによるDevSecOpsの実践
・2022.05.08 NIST SP 800-161 Rev. 1 システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践
・2022.04.15 米国 食品医薬品局 (FDA) 医療機器におけるサイバーセキュリティ:品質システムに関する考察と市販前申請の内容:産業界と食品医薬品局スタッフのためのガイダンス(案) (2022.04.08)
・2022.02.26 NIST RFI(情報要求)サイバーセキュリティフレームワーク、サプライチェーンのサイバーリスクマネジメントの改善等のために。。。
・2022.02.22 NATO CCDCOE 最近のサイバー事件 軍事・国家安全保障の意思決定者のための検討事項 第14号は2021年の振り返り (2022.01)
・2022.02.06 NIST ホワイトペーパー: 大統領令14028条第4e項に基づくソフトウェア・サプライチェーン・セキュリティ・ガイダンス
・2022.01.17 米国 GAO サイバーセキュリティ:SolarWindsおよびMicrosoft Exchangeのインシデントに対する連邦政府の対応
・2021.10.30 NIST SP 800-161 Rev. 1 (Draft) システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践(第2次ドラフト)
・2021.07.20 米国、英国、欧州連合は中国が悪意あるサイバー活動を行なっていると発表していますね。。。
・2021.06.02 米国 国家のサイバーセキュリティ向上に関する大統領令 (EO 14028) に基づくソフトウェアサプライチェーン管理に関係して。。。
・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令
・2021.05.09 NATO CCDCOE (Cooperative Cyber Defence Centre of Excellence) 5月発行の第10号の特集は「ソフトウェアサプライチェーン」
Comments