Cybersecurity Executive Order 2021: What It Means for Cloud and SaaS Security
2021.06/14 TheHackerNews — 米国連邦政府の IT システムおよびサプライチェーンを標的とする悪意の行為者に対応するために、大統領は国家のサイバーセキュリティの向上に関する大統領令 (Executive Order on Improving the Nation’s Cybersecurity) を発表した。
この大統領令は、連邦政府の各組織を対象としているが、連邦政府のサプライ・ストリームにも波及効果があると思われる。したがって、民間の企業はこの大統領令を参考にして、ベスト・プラクティスを構築することになるだろう。大統領令の上位レベルでは、情報共有の要件などが含まれ、クラウドやゼロ・トラスト・アーキテクチャの推進と、ソフトウェア・サプライチェーン全体の透明性の向上などが提示されている。
この大統領令の大部分は、契約言語の再定義や、スケジュールの設定、組織の役割と責任の定義といった、関連する部門の管理業務に焦点を当てている。連邦政府にテクノロジーを提供していない企業にとって、大統領令の重要性は感じられないかもしれない。しかし、連邦政府の IT サプライチェーンに属さない企業であっても、以下のような基本的な考え方は活用できる。
・情報共有の改善
・クラウドとゼロ・トラストによる政府機関のインフラの近代化
・連邦政府の IT ソフトウェア・サプライ・チェーンの安全性確保
この記事では、上記の3つのポイントについて、概要を説明していますので、もう少し抄訳を続けてみます。クラウドとゼロ・トラストだけではなく、サプライチェーンにまで踏み込んだことに、かなり驚きました。いろいろな政策が具体化していくはずですので、注視していきましょう。
● 情報共有の改善
誰もが上手いかたちで参加して、ベンダーの影に隠れないようにしよう。一言でいうなら、この大統領令は、脅威アクターが脆弱性を悪用するときに、政府機関とベンダーが意味のある情報共有を行うい、それに対応していくことを目的にしています。
● クラウドへの移行とゼロ・トラスト・アーキテクチャの構築
この大統領令の要件では、とても短いタイムラインが設定されているため、連邦政府内でも軽いパニックが起きたそうです。たとえば、連邦政府機関は 60日以内に以下の項目に対応する必要があります。
・クラウドに移行するリソースの優先順位を可能な限り迅速に決定する
・ゼロ・トラスト・アーキテクチャの導入を計画する
・可能な限りの安全性を確保したうえでサイバー・リスクを軽減していく
さらに、180日以内に多要素認証 (MFA) と暗号化を導入する必要があります。政府機関は IT スタックを近代化するために SaaS (Software-as-a-Service) を採用しており、多要素認証を取り込んだ ID アクセスの制御は、重要なリスク軽減戦略として機能しています。
● サプライ・チェーンの安全確保
最近のサプライ・チェーンにおけるハッキングや侵入の事例を挙げるなら、この項目が入るのは当然かと思われます。意外と知られていませんが、このセクションにも重要な箇条書きがあります。
・ソフトウェアのセキュリティ評価基準の作成
・安全なソフトウェア開発のための標準および手続き確立
・ソフトウァア部品表の作成(開発者が使用する全ての技術的な材料を記載)
Google が立ち上げる SLSA はサプライチェーンのを護るフレームワークだ
API ファースト時代のアプリケーション保護を再考する
REvil ランサムウェアは MSP サプライチェーン攻撃により 200社に影響を及ぼす
NIST が示す政府機関のためのセキュアなサプライチェーンとは?
IoT OT Security News 