米国 CISA FBI 意見募集 「製品セキュリティの悪き慣行」

こんにちは、丸山満彦です。

CISAとFBIが、製品セキュリティの悪き慣行を公表し、意見募集をしていますね...

 

製品の特性、セキュリティ機能、組織的プロセスとポリシーの３つの分野において、それぞれお、６、２、２、あわせて10の悪き慣行が挙げられていますね...

 

Product Properties	製品の特性
Development in Memory Unsafe Languages (CWE[1]-119 and related weaknesses)	メモリが安全でない言語での開発（CWE[1]-119 及び関連する弱点）
Inclusion of User-Provided Input in SQL Query Strings (CWE-89)	SQL クエリ文字列におけるユーザ提供入力の包含（CWE-89）
Inclusion of User-Provided Input in Operating System Command Strings (CWE-78)	オペレーティング・システム・コマンド文字列へのユーザ提供入力の包含（CWE-78）
Presence of Default Passwords (CWE-1392 and CWE-1393)	デフォルトパスワードの存在（CWE-1392 及び CWE-1393）
Presence of Known Exploited Vulnerabilities	既知の悪用される脆弱性の存在
Presence of Open Source Software with Known Exploitable Vulnerabilities	既知の脆弱性を持つオープンソースソフトウェアの存在
Security Features	セキュリティ機能
Lack of Multifactor Authentication	多要素認証の欠如
Lack of Capability to Gather Evidence of Intrusions	侵入の証拠を収集する能力の欠如
Organizational Processes and Policies	組織的プロセスとポリシー
Failing to Publish Timely CVEs with CWEs	CVEをCWEとともに適時に発行しない
Failing to Publish a Vulnerability Disclosure Policy	脆弱性開示ポリシーの公表を怠る

 

● CISA

・2024.10.16 Product Security Bad Practices

Product Security Bad Practices	製品セキュリティの悪しき慣行
Overview	概要
As outlined in CISA’s Secure by Design initiative, software manufacturers should ensure that security is a core consideration from the onset of software development. This voluntary guidance provides an overview of product security bad practices that are deemed exceptionally risky, particularly for software manufacturers who produce software used in service of critical infrastructure or national critical functions (NCFs) and provides recommendations for software manufacturers to mitigate these risks.	CISAの「セキュア・バイ・デザイン」イニシアティブで概説されているように、ソフトウエア製造事業者は、ソフトウエア開発の初期段階からセキュリティが中核的な検討事項であることを保証すべきである。この自主ガイダンスは、特に重要インフラや国家重要機能（NCF）に使用されるソフトウエアを製造するソフトウエア製造者にとって、例外的にリスクが高いと考えられる製品セキュリティの悪習慣の概要を示し、ソフトウエア製造者がこれらのリスクを軽減するための推奨事項を提供するものである。
The U.S. Cybersecurity and Infrastructure Security Agency (CISA) and the Federal Bureau of Investigation (FBI) (hereafter referred to as the authoring organizations) developed this guidance to urge software manufacturers to reduce customer risk by prioritizing security throughout the product development process. This document is intended for software manufacturers who develop software products and services—including on-premises software, cloud services, and software as a service (SaaS)—used in support of critical infrastructure or NCFs. The authoring organizations strongly encourage all software manufacturers to avoid these product security bad practices. By following the recommendations in this guidance, manufacturers will signal to customers that they are taking ownership of customer security outcomes, a key Secure by Design principle. The guidance contained in this document is non-binding and while CISA encourages organizations to avoid these bad practices, this document imposes no requirement on them to do so.	米国サイバーセキュリティ・インフラセキュリティ庁（CISA）と連邦捜査局（FBI）（以下、認可機関）は、製品開発プロセス全体を通じてセキュリティを優先することで、顧客リスクを低減するようソフトウェア製造者に促すため、本ガイダンスを策定した。本文書は、オンプレミス・ソフトウェア、クラウド・サービス、SaaS（Software as a Service）を含め、重要インフラやNCFを支援するために使用されるソフトウェア製品やサービスを開発するソフトウェア製造事業者を対象としている。認可事業者は、すべてのソフトウェア製造事業者に対し、これらの製品セキュリティの悪き慣行を回避することを強く推奨する。このガイダンスの推奨事項に従うことで、製造事業者は、セキュア・バイ・デザインの重要な原則である、顧客のセキュリティ成果に対するオーナーシップを有していることを顧客に示すことができる。この文書に含まれるガイダンスは拘束力を持たず、CISAはこれらの悪き慣行を回避するよう組織に奨励するが、この文書はそうすることを組織に義務付けるものではない。
The bad practices are divided into three categories.	悪き慣行は3つのカテゴリーに分類される。
1. Product properties, which describe the observable, security-related qualities of a software product.	1. 製品特性：ソフトウェア製品の観察可能なセキュリティ関連品質を記述する。
2. Security features, which describe the security functionalities that a product supports.	2. セキュリティ機能：製品がサポートするセキュリティ機能を記述する。
3. Organizational processes and policies, which describe the actions taken by a software manufacturer to ensure strong transparency in its approach to security.	3. 組織的プロセスとポリシー：ソフトウェア製造事業者が、セキュリ ティへのアプローチにおいて強力な透明性を確保するためにとった行動を記 述する。
This list is focused and does not include every possible inadvisable cybersecurity practice. The lack of inclusion of any particular cybersecurity practice does not indicate that CISA endorses such a practice or deems such a practice to present acceptable levels of risk. Items present in this list were chosen based on the threat landscape as representing the most dangerous and pressing bad practices that software manufacturers should avoid.	このリストは焦点を絞ったものであり、考えられるすべてのサイバーセキュリティ上の望ましくない行為を含んでいるわけではない。特定のサイバーセキュリティ慣行が含まれていないことは、CISA がそのような慣行を承認していること、またはそのような慣行が許容可能なレベルのリスクであると判断していることを示すものではない。このリストに記載されている項目は、ソフトウェア製造事業者が避けるべき最も危険で差し迫った悪習慣の代表者として、脅威の状況に基づいて選択されたものである。
Product Properties	製品の特性
Development in Memory Unsafe Languages (CWE[1]-119 and related weaknesses)	メモリが安全でない言語での開発（CWE[1]-119 及び関連する弱点）
The development of new product lines for use in service of critical infrastructure or NCFs in a memory-unsafe language (e.g., C or C++) where there are readily available alternative memory-safe languages that could be used is dangerous and significantly elevates risk to national security, national economic security, and national public health and safety.	使用可能な代替メモリ安全言語が容易に利用可能であるにもかかわらず、メモリ安全でない言語（例えば C や C++）で重要インフラや NCF に使用するための新しい製品ラインを開発することは危険であり、国家安全保障、国家経済安全保障、国家公衆衛生及び安全に対するリスクを著しく高める。
For existing products that are written in memory-unsafe languages, not having a published memory safety roadmap by January 1, 2026 is dangerous and significantly elevates risk to national security, national economic security, and national public health and safety. The memory safety roadmap should outline the manufacturer’s prioritized approach to eliminating memory safety vulnerabilities in priority code components (e.g., network-facing code or code that handles sensitive functions like cryptographic operations). Manufacturers should demonstrate that the memory safety roadmap will lead to a significant, prioritized reduction of memory safety vulnerabilities in the manufacturer’s products and demonstrate they are making a reasonable effort to follow the memory safety roadmap. This does not apply to products that have an announced end-of-support date that is prior to January 1, 2030.	メモリ安全でない言語で書かれた既存の製品について、2026年1月1日までにメモリ安全ロードマップが公開されていないことは危険であり、国家安全保障、国家経済安全保障、国家公衆衛生安全に対するリスクを著しく高める。メモリ安全性ロードマップは、優先順位の高いコード・コンポーネント（例えば、ネットワークに面したコードや暗号操作のような機密機能を扱うコード）におけるメモリ安全性の脆弱性を排除するための製造事業者の優先順位の高いアプローチの概要を示すべきである。製造事業者は、メモリーセーフティロードマップが、製造事業者の製品におけるメモリーセーフティの脆弱性を優先的に大幅に削減することにつながり、メモリーセーフティロードマップに従って合理的な努力をしていることを実証する必要がある。ただし、サポート終了日が2030年1月1日より前に発表された製品には適用されない。
Recommended action: Software manufacturers should build products in a manner that systematically prevents the introduction of memory safety vulnerabilities, such as by using a memory safe language or hardware capabilities that prevent memory safety vulnerabilities. Additionally, software manufacturers should publish a memory safety roadmap by January 1, 2026.	推奨措置：ソフトウェア製造事業者は、メモリ安全言語やメモリ安全脆弱性を防止するハードウェア機能を使用するなど、メモリ安全脆弱性の序文を体系的に防止する方法で製品を構築すべきである。さらに、ソフトウェア製造事業者は、2026年1月1日までにメモリ安全ロードマップを公表すべきである。
Resources: The Case for Memory Safe Roadmaps, CISA Secure by Design Pledge (Reducing Classes of Vulnerability), Back to The Building Blocks, NIST Secure Software Development Framework (SSDF) PW 6.1.	リソース：メモリー安全ロードマップの事例、CISA セキュアバイデザイン宣言 (脆弱性のクラスの低減）、ビルディング・ブロックに戻る、NISTセキュアソフトウェア開発フレームワーク(SSDF) PW 6.1.
Inclusion of User-Provided Input in SQL Query Strings (CWE-89)	SQL クエリ文字列におけるユーザ提供入力の包含（CWE-89）
The inclusion of user-provided input directly in the raw contents of a SQL database query string in products used in service of critical infrastructure or NCFs is dangerous and significantly elevates risk to national security, national economic security, and national public health and safety.	重要インフラまたは NCF のサービスで使用される製品において、SQL データベースクエリ文字列の生コンテンツにユーザ提供入力を直接包含することは危険であり、国家安全保障、国家経済安全保障、および国家公衆衛生と安全に対するリスクを著しく高める。
Recommended action: Products should be built in a manner that systematically prevents the introduction of SQL injection vulnerabilities, such as by consistently enforcing the use of parametrized queries.	推奨措置：製品は、パラメータ化されたクエリの使用を一貫して強制するなど、SQL インジェクション脆弱性の序文を体系的に防止する方法で構築されるべきである。
Resources: CISA Secure by Design Pledge (Reducing Classes of Vulnerability), SSDF PW.5.1, CISA SQL Injection Secure by Design Alert.	リソース：CISA セキュアバイデザイン宣言 (脆弱性のクラスの低減）、SSDF PW.5.1、CISA SQLインジェクション・セキュアバイデザイン・アラート。
Inclusion of User-Provided Input in Operating System Command Strings (CWE-78)	オペレーティング・システム・コマンド文字列へのユーザ提供入力の包含（CCWE-78）
The inclusion of user-provided input directly in the raw contents of an operating system command string in products used in service of critical infrastructure or NCFs is dangerous and significantly elevates risk to national security, national economic security, and national public health and safety.	重要インフラまたは NCF のサービスで使用される製品において、オペレーティング・システム・コマンド文字列の生 内容にユーザ提供入力を直接包含することは危険であり、国家安全保障、国家経済安全保障、および国家公衆衛 生安全に対するリスクを著しく高める。
Recommended action: Software manufacturers should build products in a manner that systematically prevents command injection vulnerabilities, such as by consistently ensuring that command inputs are clearly delineated from the contents of a command itself.	推奨措置：ソフトウェア製造事業者は、コマンド入力がコマンドの内容そのものから明確に区別されることを一貫して保証するなど、コマンド・インジェクションの脆弱性を体系的に防止する方法で製品を構築すべきである。
Resources: CISA Secure by Design Pledge (Reducing Classes of Vulnerability), SSDF PW.5.1.	リソース：CISA セキュアバイデザイン宣言 (脆弱性のクラスの低減） 、SSDF PW.5.1.
Presence of Default Passwords (CWE-1392 and CWE-1393)	デフォルトパスワードの存在（CWE-1392 及び CWE-1393）
The release of a product used in service of critical infrastructure or NCFs with default passwords, which CISA defines as universally-shared passwords that are present by default across a product, is dangerous and significantly elevates risk to national security, national economic security, and national public health and safety.	重要インフラや NCF のサービスで使用される製品にデフォルトパスワード（CISA は、製品全体にデフォルト で存在する普遍的に共有されるパスワードと定義）を設定してリリースすることは危険であり、国家安全保 障、国家経済安全保障、国家公衆衛生及び安全に対するリスクを著しく高める。
Recommended action: Software manufacturers should ensure that default passwords are not present in a product, such as by:	推奨措置：ソフトウェア製造事業者は、デフォルトパスワードが製品に存在しないようにする：
・Providing random, instance-unique initial passwords for the product.	・ランダムでインスタンス固有の初期パスワードを製品にプロバイダする。
・Requiring the user installing the product to create a strong password at the start of the installation process.	・製品をインストールするユーザに、インストールプロセスの開始時に強力なパスワードの作成を要求する。
・Providing time-limited setup passwords that disable themselves when a setup process is complete and require configuration of a secure password (or more secure authentication approaches, such as phishing-resistant MFA).	・セットアッププロセスが完了すると無効になり、セキュアなパスワード（またはフィッシングに強い MFA などのよりセキュアな認証アプローチ）の設定を必要とする、時間制限のあるセットアップパスワードをプロバイダに提供する。
・Requiring physical access for initial setup and the specification of instance-unique credentials.	・初期セットアップとインスタンス固有の認証情報の指定に物理的なアクセスを要求する。
・Conducting campaigns or offering updates that transition existing deployments from default passwords to more secure authentication mechanisms.	・既存のデプロイメントをデフォルトのパスワードからよりセキュアな認証メカニズムに移行するキャンペーンを実施したり、アップデートを提供したりする。
Resources: CISA Secure by Design Pledge (Default Passwords), SSDF PW.9.1, CISA Default Passwords Secure by Design Alert.	リソース：CISA セキュアバイデザイン宣言（デフォルトパスワード）、SSDF PW.9.1、CISAデフォルトパスワード・セキュアバイデザイン・アラート
Presence of Known Exploited Vulnerabilities	既知の悪用される脆弱性の存在
The release of a product used in service of critical infrastructure or NCFs that, at time of release, includes a component that contains an exploitable vulnerability present on CISA’s Known Exploited Vulnerabilities (KEV) Catalog is dangerous and significantly elevates risk to national security, national economic security, and national public health and safety. Additionally, if a new KEV affecting the product is published in CISA’s catalog, failure to issue a patch at no cost to its users in a timely manner if the KEV is exploitable in the product or failure to publicly document the presence of the vulnerability if the KEV is not exploitable in the product, is dangerous and significantly elevates risk to national security, national economic security, and national public health and safety.	重要インフラストラクチャまたは NCF に使用される製品で、リリース時に CISA の既知の悪用される脆弱性（KEV）カタログに存在する悪用可能な脆弱性を含むコンポーネントを含む製品のリリースは危険であり、国家安全保障、国家経済安全保障、および国家公衆衛生と安全に対するリスクを著しく高める。さらに、製品に影響を及ぼす新たな KEV が CISA のカタログに掲載された場合、その KEV が製品で悪用可能であれば、ユーザに無償でパッチを適時に発行しないこと、またはその KEV が製品で悪用可能でなければ、脆弱性の存在を公に文書化しないことは、危険であり、国家安全保障、国家経済安全保障、国家公衆衛生安全に対するリスクを著しく高める。
Recommended action: Software manufacturers should patch all known exploited vulnerabilities within software components prior to release. In the case of the publication of a new KEV on CISA’s catalog, the manufacturer should issue a patch at no cost to its users in a timely manner (under no circumstances longer than 30 days) and clearly warn users of the associated risks of not installing the patch.	推奨措置：ソフトウェア製造事業者は、リリース前にソフトウェア・コンポーネント内の既知の脆弱性をすべてパッチすること。新たな KEV が CISA のカタログに掲載された場合、製造事業者は、ユーザに無償でパッチを適 時（いかなる場合でも 30 日以内）発行し、パッチをインストールしない場合の関連リスクをユーザに 明確に警告すべきである。
If the manufacturer deems that a KEV cannot be exploited in its product (because, for instance, the KEV is only exploitable via a function that is never called), the manufacturer should publicly publish written documentation acknowledging the KEV and explaining how it is not exploitable in their product.[2]	製造事業者が、自社製品において KEV を悪用できないと判断した場合（例えば、KEV が呼び出されることのない関数を介してのみ悪用可能であるため）、製造事業者は、KEV を認め、自社製品において KEV がどのように悪用できないかを説明した文書[2]を公表すべきである。
Resources: CISA Secure by Design Pledge (Security Patches), SSDF PW.4.4, Binding Operational Directive 22-01.	リソース：CISAセキュアバイデザイン宣言（セキュリティパッチ）、SSDF PW.4.4、拘束的運用指令 22-01。
Presence of Open Source Software with Known Exploitable Vulnerabilities	既知の脆弱性を持つオープンソースソフトウェアの存在
The release of a product used in service of critical infrastructure or NCFs that, at time of release, includes open source software components that have known exploitable vulnerabilities is dangerous and significantly elevates risk to national security, national economic security, and national public health and safety.[3] Additionally, if exploitable vulnerabilities are subsequently disclosed in the included open source components, failure to issue a patch or other mitigation at no cost to the product’s users in a timely manner is dangerous and significantly elevates risk to national security, national economic security, and national public health and safety.	重要インフラやNCFに使用される製品で、リリース時に、悪用可能な脆弱性があることが判明しているオープンソースソフトウェアコンポーネントを含むもののリリースは危険であり、国家安全保障、国家経済安全保障、および国家公衆衛生・安全に対するリスクを著しく高める。 [3] さらに、悪用可能な脆弱性がその後オープンソースコンポーネントに開示された場合、製品のユーザに無償でパッチまたはその他の緩和策を適時に発行しないことは危険であり、国家安全保障、国家経済安全保障、および国家公衆衛生安全に対するリスクを著しく高めることになる。
Recommended action: Software manufacturers should responsibly consume and sustainably contribute to the open source software that they depend on. This includes making a reasonable effort to evaluate and secure their open source software dependencies by taking the following actions:[4]	推奨措置：ソフトウェア製造事業者は、依存するオープンソースソフトウェアを責任を持って消費し、持続的に貢献すべきである。これには、以下の行動をとることにより、オープンソースソフトウェアの依存関係を評価し、安全性を確保する合理的な努力をすることが含まれる[4]:
・Maintaining a software bill of materials (SBOM) describing all first- and third-party software dependencies, both open source and proprietary, and being able to provide this to customers.	オープンソースとプロプライエタリの両方を含む、すべてのファーストパーティとサードパーティのソフトウェア依存関係を記述したソフトウェア部品表（SBOM）を維持し、これを顧客に提供できるようにすること。
・Having an established process for managing the incorporation of open source software, including taking reasonable steps to:	・オープンソースソフトウェアの組み込みを管理するための確立 されたプロセスを持つ：
・・Run security scanning tools on each open source software component when selected, including its dependencies and transitive dependencies, and each subsequent version when updated.	・オープンソースソフトウェアの各コンポーネントを選択したときは、その依存 関係と相互依存関係を含め、セキュリティスキャンツールを実行する。
・・Select open source software projects that are well-maintained, and—when appropriate—contribute to the project’s ongoing maintenance to sustain the expected standard of quality.	・・十分に保守されているオープンソースソフトウェアプロジェクトを選択し、 適切な場合は、期待される標準品質を維持するためにプロジェクトの継続的な 保守に貢献する。
・・Evaluate alternatives to identify and select the most well-secured and maintained option.	・・代替案を評価し、最も安全性が高く保守が行き届いている選択肢を特定し、選択する。
・・Download open source software project artifacts from package repositories (or other appropriate sources) that adhere to security best practices.	・・オープンソースソフトウェアプロジェクトの成果物を、 セキュリティのベストプラクティスに準拠したパッケージリポジトリ（または他の適切なソース）からダウンロードする。
・・Routinely monitor for Common Vulnerabilities and Exposures (CVEs) or other security-relevant alerts, such as end-of-life, in all open source software dependencies and update them as necessary.	・・すべてのオープンソースソフトウェアの依存関係において、共通脆弱 性・エクスポージャー（CVE）または使用期限切れなどその他のセキュリ ティ関連アラートがないか定期的に監視し、必要に応じて更新する。
・・Cache copies of all open-source dependencies within the manufacturer’s own build systems and do not update products or customer systems directly from unverified public sources.	・・製造事業者自身のビルドシステム内にすべてのオープンソース依存 関係のコピーをキャッシュし、検証されていない公開ソースから製品や顧客 システムを直接更新しない。
・Including the cost of updating to new major versions of third-party open source software dependencies in business planning activities and ensuring that such dependencies continue to receive necessary security fixes for the expected product life.	・サードパーティ製オープンソースソフトウェアの依存関係の新し いメジャーバージョンへの更新コストを事業計画活動に含め、そ のような依存関係が想定される製品寿命の間、必要なセキュ リティ修正を受け続けるようにする。
Resources: SSDF PW.4.4, ESF Recommended Practices for Managing Open Source Software and Software Bill of Materials, TODO Group Open Source Program Office (OSPO) Definition and Guide.	リソース SSDF PW.4.4、「オープンソースソフトウェア及びソフトウェア部品表を管理するための ESF 推奨実践事例」、TODO グループ オープンソースプログラムオフィス（OSPO）定義及びガイド。
Security Features	セキュリティ機能
Lack of Multifactor Authentication	多要素認証の欠如
For products used in service of critical infrastructure or NCFs that authenticate users not supporting multi-factor authentication (MFA) in the baseline version of the product is dangerous and significantly elevates risk to national security, national economic security, and national public health and safety.	重要インフラやNCFで使用され、ユーザを認証する製品において、製品のベースライン・ バージョンで多要素認証（MFA）をサポートしないことは、危険であり、国家安全保障、国家経済 安全保障、および国家公衆衛生・安全保障に対するリスクを著しく高める。
Additionally, products that do not enable MFA by default for administrator accounts after January 1, 2026 are dangerous and significantly elevate risk to national security, national economic security, and national public health and safety. This does not apply to products that have an announced end-of-support date that is prior to January 1, 2028.	さらに、2026年1月1日以降、管理者アカウントに対してデフォルトでMFAを有効にしない製品は危険であり、国家安全保障、国家経済安全保障、国家公衆衛生安全に対するリスクを著しく高める。ただし、サポート終了日が 2028 年 1 月 1 日より前に発表されている製品には適用されない。
Recommend action: Software manufacturers should either support MFA natively in the product (if the product itself handles authentication) or support in the baseline version of the product the use of an external identity provider, such as via single sign on. Require MFA for administrators.	推奨措置： ソフトウェア製造事業者は、製品で MFA をネイティブにサポートするか（製品自体が認証 を処理する場合）、製品のベースライン・バージョンで、シングル・サイン・オンなど外部 ID プロバイダの使用をサポートする必要がある。管理者に MFA を要求する。
Resources: CISA Secure by Design Pledge (Multi-Factor Authentication), SSDF PW.9.	リソース：CISA セキュアバイデザイン宣言（多要素認証）、SSDF PW.9.
Lack of Capability to Gather Evidence of Intrusions	侵入の証拠を収集する能力の欠如
For products used in service of critical infrastructure or NCFs, it is dangerous and significantly elevates risk to national security, national economic security, and national public health and safety to not provide customers with artifacts and capabilities in the baseline version of the product sufficient to gather evidence of common forms of intrusions affecting the product, which at minimum includes:	重要インフラまたは NCF に使用される製品について、製品に影響を及ぼす一般的な形態の侵入の証拠を収集するのに十分な成果物および機能を、製品のベースライン・バージョンで顧客に提供しないことは、危険であり、国家安全保障、国家経済安全保障、および国家公衆衛生安全に対するリスクを著しく高める：
・Configuration changes or reading configuration settings;	・構成変更または構成設定の読み取り、
・Identity (e.g., sign-in and token creation) and network flows, if applicable; and	・ID（サインインおよびトークン作成など）およびネットワークフロー（該当する場合）、
・Data access or creation of business-relevant data.	・データアクセスまたは業務関連データの作成。
Recommended action:	推奨措置
・As part of the baseline version of a product, software manufacturers should make logs available in an industry-standard format related to, at minimum, the above listed areas.	・製品のベースラインバージョンの一部として、ソフトウェア製造事業者は、少なくとも上記の分野に関連するログを業界標準フォーマットで利用できるようにすべきである。
・For cloud service providers and SaaS products, software manufacturers should retain logs for a set timeframe (at least 6 months) at no additional charge.	・クラウドサービスプロバイダやSaaS製品については、ソフトウェア製造者は、追加料金なしで、一定期間（少なくとも6カ月間）ログを保持すべきである。
Resources: CISA Secure by Design Pledge (Evidence of Intrusions).	リソース：CISA Secure by Design Pledge（侵入の証拠）。
Organizational Processes and Policies	組織的プロセスとポリシー
Failing to Publish Timely CVEs with CWEs	CVEをCWEとともに適時に発行しない
For products used in service of critical infrastructure or NCFs, it is dangerous and significantly elevates risk to national security, national economic security, and national public health and safety for the software manufacturer to not issue CVEs in a timely manner for, at minimum, all critical or high impact vulnerabilities (whether discovered internally or by a third party). Additionally, it is dangerous and significantly elevates risk to national security, national economic security, and national public health and safety to not include the CWE field in every CVE record.	重要インフラまたはNCFのサービスで使用される製品について、ソフトウェア製造者が、最低限、すべての重要な脆弱性または影響度の高い脆弱性（内部で発見されたか、サードパーティによって発見されたかを問わない）について、適時にCVEを発行しないことは、国家安全保障、国家経済安全保障、および国家公衆衛生・安全に対するリスクを著しく高める危険なことである。さらに、すべてのCVEレコードにCWEフィールドを含めないことは危険であり、国家安全保障、国家経済安全保障、および国家公衆衛生安全に対するリスクを著しく高める。
Recommended action: Software manufacturers should publish complete CVEs, including the appropriate CWE field, in a timely manner for all critical or high impact vulnerabilities.	推奨される行動：ソフトウェア製造事業者は、すべての重要な脆弱性または影響の大きい脆弱性について、適切なCWEフィールドを含む完全なCVEを適時に公表すべきである。
Resources: CISA Secure by Design Pledge (CVEs), SSDF RV.1.3.	リソース：CISA Secure by Design Pledge (CVEs)、SSDF RV.1.3.
Failing to Publish a Vulnerability Disclosure Policy	脆弱性開示ポリシーの公表を怠る
For products used in service of critical infrastructure or NCFs, not having a published vulnerability disclosure policy (VDP) that includes the product in its scope is dangerous and significantly elevates risk to national security, national economic security, and national public health and safety.	重要インフラまたは NCF に使用される製品について、その製品を範囲に含む脆弱性開 示ポリシー（VDP）を公表していないことは危険であり、国家安全保障、国家経済安全保障、および国家公衆衛生と安 全に対するリスクを著しく高める。
Recommended actions:	推奨措置
・Software manufacturers should publish a VDP that:	・ソフトウェア製造事業者は、以下のようなVDPを公表すべきである：
・Authorizes testing by members of the public on products offered by the manufacturer;	・脆弱性を報告するための明確なチャネルを提供する。 協調的脆弱性開示（CVD）のベストプラクティスおよび国際標準に沿った脆弱性の公開を許可する。
・Commits to not recommending or pursuing legal action against anyone engaging in good faith efforts to follow the VDP,	・VDP に従おうと誠実に努力する人に対して、法的措置を推奨したり追及したりしないことを約束する、
・Provides a clear channel to report vulnerabilities; and	・脆弱性を報告するための明確なチャネルをプロバイダに提供する。
・Allows for public disclosure of vulnerabilities in line with coordinated vulnerability disclosure (CVD) best practices and international standards.	・協調的脆弱性開示（CVD）のベストプラクティスと国際標準に沿った脆弱性の公開を認める。
・Software manufacturers should remediate all valid reported vulnerabilities in a timely and risk-prioritized manner.	・ソフトウェア製造事業者は、報告されたすべての妥当性確認済みの脆弱性を、タイムリーかつリスク優先の方法で是正すべきである。
Resources: CISA Secure by Design Pledge (Vulnerability Disclosure Policy), SSDF RV.1.3, ISO 29147.	リソース：CISA Secure by Design Pledge（脆弱性開示方針）、SSDF RV.1.3、ISO 29147。
[1] Common Weakness Enumeration.	[1] 共通脆弱性一覧
[2] Ideally, the documentation should be published in a machine-processable format through Vulnerability Exploitability eXchange (VEX).	[2] 理想的には、脆弱性悪用可能性交換（VEX：Vulnerability Exploitability eXchange）を通じて、機械処理可能な形式で文書を公開する。
[3] Critical vulnerabilities are defined as those with a Common Vulnerability Scoring System (CVSS) score of 9.0 or greater.	[3] 重大な脆弱性とは、共通脆弱性評価システム（Common Vulnerability Scoring System：CVSS）のスコアが 9.0 以上の脆弱性を指す。
[4] Organizations may choose to establish an open source program office (OSPO) to centralize these activities.	[4] 組織は、これらの活動を一元化するために、オープンソースプログラムオフィス（OSPO） を設立することを選択することができる。
Request for Comment on Product Security Bad Practices Guidance	製品セキュリティ悪き慣行ガイダンスに関する意見要求
CISA is seeking public comment to inform the development of these Product Security Bad Practices, which enumerate exceptionally risky software development activities. Please visit the Federal Register to submit comment by Dec. 2, 2024.	CISAは、例外的にリスクの高いソフトウェア開発活動を列挙した「製品セキュリティ悪き慣行」の策定に資するため、パブリック・コメントを求めている。連邦官報にアクセスして、2024年12月2日までに意見を提出すること。
View federal register	連邦官報を見る

 

・[PDF]

 

 

・