拝啓IT業界 脆弱性無きコードを書け ホワイトハウス拝 | ScanNetSecurity
2024.05.28(火)

拝啓IT業界 脆弱性無きコードを書け ホワイトハウス拝

これらのセキュリティ規則が適用されるのは連邦政府とその請負業者のみだが、おそらく民間企業にも影響が出るだろう。ベンダーが連邦政府に供給しているセキュリティ関連製品やサービスと同じものを、民間企業も多数使用しているからだ。

国際
拝啓IT業界 脆弱性無きコードを書け ホワイトハウス拝

 ホワイトハウスが米国の ITサプライチェーン強化を推進する大きな動きの一環として、連邦政府機関向けのソフトウェアセキュリティ規則を公表した。

 本日公表された要件 [PDF] は、SolarWinds の大惨事や、その他の注目を集めたソフトウェアサプライチェーンへの干渉に対応して 2021 年 5 月に発令された、ジョー・バイデン米大統領のサイバーセキュリティ大統領令に端を発するものだ。

 具体的に言うと、連邦政府機関は使用するサードパーティソフトウェアプロバイダから、自己証明書を取得しなければならなくなった。この証明書は基本的に、その製品が安全なソフトウェア開発に関する最低限の NIST基準を満たしていることを、ベンダーが保証するものである。

 ソフトウェアプロバイダとのライセンス契約を更新する際や、開発元がコードに大きな変更を加える場合には、新しい自己証明書(a self-attestation)を取得する必要がある。行政管理予算局が策定したこれらの要件は、これから開発されるソフトウェアに適用され、今後のメジャーリリースも対象となる。政府機関内で開発されたコードには適用されないものの、この規則を遵守することが奨励されている。

 また、この規則は、ソフトウェアベンダーが「標準的な自己証明書で特定されている NISTガイダンスの 1 つ以上で実践を証明できない」場合、当該企業は潜在的なリスクを特定し、それらのリスクを軽減する方法を文書化すると共に、NIST に従って「行動計画およびマイルストーン」も策定しなければならないとしている。

 これらの要件が、結果として安全でセキュアなソフトウェアにつながることが期待されている。あるいは、少なくともアプリケーションを展開する際に、政府職員にリスクとその緩和策を常に周知させることができるだろう。必要な措置の正確な実施期限は、上記 PDF の付録A に記載されている。例えば、政府機関は 270 日以内に、重要なソフトウェアの自己証明書を集めなければならない。


《The Register》

編集部おすすめの記事

特集

国際 アクセスランキング

  1. GDPR 遵守コスト:中小企業 170 万ドル、大企業 7,000 万ドル ~ 全米経済研究所レポート

    GDPR 遵守コスト:中小企業 170 万ドル、大企業 7,000 万ドル ~ 全米経済研究所レポート

  2. 訃報「伝説のハッカー」ケビン・ミトニック氏 59歳

    訃報「伝説のハッカー」ケビン・ミトニック氏 59歳

  3. ロボット三原則、銀河帝国の興亡 ~ 生誕100年 アイザック・アシモフの残した今も生きる警鐘(The Register)

    ロボット三原則、銀河帝国の興亡 ~ 生誕100年 アイザック・アシモフの残した今も生きる警鐘(The Register)

  4. ロシアのスノーデンか「Vulkanファイル」流出

  5. ハッカー集団「中国紅客聯盟」創始者、10年ぶり復活を宣言(Far East Research)

  6. ハッカーは簡単に購入できる部品で NSA のスパイキットをリバースエンジニアリングする~DEFCON で新たなスパイ製品の数々が紹介されることに期待(The Register)

  7. NSAがTorユーザーやプライバシーに関心の高い市民をリスト化(The Register)

  8. インターネットアーカイブが出版大手四社に破壊される可能性

  9. ランサムウェア感染を隠蔽したソフトウェア企業の末路

  10. 専門家「隠されたパケットスニファのスパイ技術が、無数の iPhone と iPad に存在している」~「落ち着いて…Apple のバックドアは誰でも入れるほど大きく開いてはいない」重鎮は語る(The Register)

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×