コリン・ティエリー
ホワイトハウスは水曜日、2021 年にジョー・バイデン大統領が署名した大統領令の延長として、ソフトウェア ベンダー向けのサイバーセキュリティ ガイダンスを発表しました。
バイデンは 2021 年 XNUMX 月に「国家のサイバーセキュリティの改善」に署名し、米国のサイバーセキュリティ アプローチを近代化し、多要素認証などの技術を実装する計画を概説しました。 の一部 行政命令 政府ネットワーク内で購入および展開されたソフトウェアのガイドラインを提供する計画を参照しました。 覚書.
ホワイトハウスで ステートメント 同じく水曜日に投稿された、連邦 CISO で国家サイバー副局長の Chris DeRusha 氏は、ソフトウェアの品質の唯一の基準は宣伝どおりに機能するかどうかでしたが、今日の技術は回復力と安全性を高める方法で開発する必要があると述べました。 .
「公共部門、民間部門、および学界からの意見を基に作成されたこのガイダンスは、安全なソフトウェア開発基準に準拠したソフトウェアのみを使用するよう政府機関に指示し、ソフトウェア プロデューサーおよび政府機関向けの自己証明フォームを作成し、連邦政府が許可するようにします。新しい脆弱性が発見されたときに、セキュリティ ギャップをすばやく特定できます」と彼は言いました。
バイデンのサイバーセキュリティ ガイダンスでは、連邦政府機関がソフトウェア ベンダーから、製品が米国のセキュリティ ガイダンスに準拠していることを確認する自己証明フォームを取得することも求められました。 米国国立標準技術研究所(NIST) 新しいソフトウェアを使用する前に。
機関によっては、ソフトウェア ベンダーがソフトウェア部品表 (SBOM) などのアーティファクトを通じてコンプライアンスを証明する必要がある場合もあります。 さらに、ベンダーは、脆弱性開示プログラムに参加しているという証拠を提供する必要がある場合があります。
行政命令とガイドラインは、民間ベンダーが安全で準拠したソフトウェアをリリースすることを法的に要求していませんが、DeRusha 氏は、2020 年の SolarWinds サプライ チェーン攻撃を受けて、この措置が必要であると述べました。このサイバー攻撃により、いくつかの政府機関がデータ侵害の犠牲になりました。
「この事件は、過去XNUMX年間にわたる一連のサイバー侵入と重大なソフトウェアの脆弱性のXNUMXつであり、政府サービスの一般への提供、およびによって管理されている膨大な量の個人情報とビジネスデータの完全性を脅かしています。民間部門です」とDeRushaは声明の中で付け加えました。
