サイバーニュース.jp

世界のサイバーなニュースを配信

米政府のソフトウェアセキュリティ監督新方針、ベンダーに複雑化をもたらす可能性

カテゴリ:

概要:アテステーション要件の撤廃と業界の反応

米国政府は、連邦ソフトウェアベンダーに対するセキュリティアテステーション(証明)要件を撤廃する新方針を打ち出しました。トランプ政権下のホワイトハウス管理予算局(OMB)は、バイデン政権が定めた、連邦機関がソフトウェアプロバイダーにCISA(サイバーセキュリティ・インフラセキュリティ庁)開発のアテステーションフォーム記入を義務付ける指令を撤回しました。OMBは、この要件が「証明されていない、負担の大きいソフトウェア会計プロセスであり、真のセキュリティ投資よりもコンプライアンスを優先していた」と説明しています。

この動きは、サイバーセキュリティコミュニティ内で賛否両論を巻き起こしています。一部の専門家は、企業がより良いセキュリティ慣行に向かう努力を阻害すると警鐘を鳴らしています。バイデン政権下でサイバー政策・プログラム担当補佐官を務めたニコラス・ライザーソン氏は、「アテステーションプロセスは、より安全なソフトウェアへの足がかりだった。代替メカニズムを提供せずに(このプロセスを)排除することは、政府のサイバーセキュリティにとって紛れもない後退だ」と述べています。

アテステーション要件の背景と目的

アテステーションの義務化は、バイデン政権の戦略の一環であり、政府の購買力を活用してソフトウェアベンダーをよりセキュリティ志向の開発慣行へと誘導することを目的としていました。CISAは「Secure by Design」キャンペーンを通じてこの戦略を主導し、企業が製品の安全な運用に対する負担をより多く負うことを奨励していました。

元CISAの上級顧問であり戦略家であったアラン・フリードマン氏は、この要件とCISAのアテステーションフォームは、独自のリスク管理アプローチを設計するリソースが不足している機関を支援し、「ベンダーが何十もの独自の要件に対応する必要がなくなるように」考案されたと説明しています。

批判とテクノロジー業界の意見

アテステーションプロセスの批評家たちは、CISAが共通フォームを開発した後も、各機関がそれを無計画に実施していたと指摘しています。法律事務所Venableのサイバーセキュリティサービス担当マネージングディレクターであるアリ・シュワルツ氏は、「一部の機関は追加の質問をしたり、要件の異なる側面を強調し続けた。大規模な製品ポートフォリオと複数のソフトウェアバージョンを持つベンダーにとって、このプロセスは依然として相当な事務作業を意味した」と述べています。

アテステーションフォームを「粗悪な設計」と繰り返し批判してきたテクノロジー業界は、その撤廃を歓迎しています。情報技術産業協議会(ITI)の公共部門担当エグゼクティブバイスプレジデントであるゴードン・ビットコ氏は、トランプ政権の「規定的な義務から、リスクに基づいたアプローチへの移行という決定」を称賛しました。ビジネスソフトウェアアライアンス(BSA)の政策担当シニアディレクター、ヘンリー・ヤング氏も、アテステーションフォームが「一貫した実施が困難であり、真のサイバーセキュリティリスク管理からリソースを流用していた」と述べています。

撤廃による影響と将来の展望

ホワイトハウスが、ソフトウェアベンダーの責任をどのように追及するかを個々の機関に委ねた結果、一貫性のない厳しい監督の断片的な状況が生まれる可能性があります。一部の機関はCISAのフォームを引き続き使用するかもしれませんが、他の機関は、ソフトウェア企業からより多くの情報やより少ない情報を要求する独自のプロセスを開発するかもしれません。これにより、ベンダーは、これまでよりもさらに複雑な状況に直面する可能性があります。

  • シュワルツ氏は、「機関がすべて異なる方向に向かい、非常に異なるアプローチを採用すれば、セキュリティを必ずしも改善することなく、企業の負担が増大する可能性がある」と懸念しています。
  • ホワイトハウスのメモは、各機関に対し、NISTのセキュアソフトウェア開発フレームワーク(SSDF)を参照したり、ベンダーにソフトウェア部品表(SBOM)やハードウェア部品表を要求したりするなど、いくつかの提案をしています。
  • フリードマン氏はSSDFを「堅固なツール」と評価しつつも、「コンプライアンスや測定のために設計されたものではない」と述べています。

この変化が機関が使用するソフトウェアのセキュリティを意味のある形で変えるかどうかは、「時期尚早」だとシュワルツ氏は述べており、特に最も大規模な機関が、新しいホワイトハウスのガイダンスに対応してベンダー監督をどのように再構築するかに大きく左右されるでしょう。

元記事: https://www.cybersecuritydive.com/news/white-house-software-security-attestation-elimination/810765/

投稿をさらに読み込む