NIST の サプライチェーン・リスク対策:Cybersecurity Supply Chain Risk Management がリリース

NIST Releases Updated Cybersecurity Guidance for Managing Supply Chain Risks

2022/05/04 TheHackerNews — 木曜日に National Institute of Standards and Technology (NIST) は、魅力的な攻撃経路としてサプライチェーンが浮上していることから、そのリスクを管理するための最新のサイバー・セキュリティ・ガイダンスを発表した。NIST は声明において、「ユーザー組織に対して推奨されるのは、利用を検討している完成品としての製品の脆弱性だけではなく、他で開発された可能性のあるコンポーネントの脆弱性についても、考える必要があるという点だ。また、それらのコンポーネントが、手元に到達するまでの道のりについても、考慮する必要がある」と述べている。

この、新たな指導的ガイダンスは、悪意のある機能や、サードパーティ・ソフトウェアの欠陥、偽造ハードウェアの挿入、製造/開発の過程における不備などに注目するものだ。そして、サプライチェーンの各段階におけるリスクを、特定/評価/対応する事業者が採用すべき、主要セキュリティにおける管理/実践の方法の概要を示している。

Software Supply Chain Risks

この取組は、2021年5月に米政府が発表した。Improving the Nation’s Cybersecurity (14028) に関する大統領令に続くものである。具体的に言うと、各政府機関に対して、重要なソフトウェアへの対応を優先し、ソフトウェア・サプライチェーンの安全性と完全性を改善するための、措置をとるよう求めている。

Supply Chain Risks

また、近年においては、サプライチェーンにおけるサイバー・セキュリティのリスクが注目されている。つまり、広く使われているソフトウェアをターゲットにして、下流のベンダー数十社を一度に侵害する攻撃が相次いでいるのだ。

European Union Agency for Cybersecurity (ENISA) の Threat Landscape for Supply Chain Attacks レポートによると、2020年1月から2021年初頭までに記録された 24件の攻撃のうちの 62% が、サプライヤーに対する顧客の信頼を悪用するものだと判明している。

NIST の Jon Boyens たちは、「サプライチェーンのサイバー・セキュリティを管理することは、今後も必要なことだ。もし、あなたの機関や組織が、それに着手していないなら、このツールを使ってほしい。這うから、歩へ、そして、走るまでのプロセスをカバーする、すぐに使える包括的なツールだ」と述べている。

この、NIST SP 800-161r1:Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations は、300ページを超える大作ですが、58ページ目からは Reference で、64ページ目からは Appendix という構成です。つまり、目次などを除くと、正味で 50ページほどの文章です。とは言え長いので、訳したら勉強になるだろうと思いつつ、日本語訳を待つという、NIST ドキュメント対策になりそうです。

%d bloggers like this: