CISA/NSA/ODNI のサプライチェーン・ガイダンス:最終章の Customer 編を発行

CISA, NSA, ODNI Publish Software Supply Chain Guidelines For Customers

2022/11/18 InfoSecurity — 11月17日に米国の US Cybersecurity and Infrastructure Security Agency (CISA) は、ソフトウェア・サプライチェーンの安全確保に関する3部作の最終章を発表した。2022年8月の Developer 向けのガイダンスと、2022年10月の Supplier 向けのガイダンスに続くものであり、調達/展開の段階におけるソフトウェアの完全性と安全性を確保するための、Customer 向けの推奨事項を示している。このドキュメントは、National Security Agency (NSA) と Office of the Director of National Intelligence (ODNI) の協力のもと発行されている。


この、新しいドキュメントでは、脅威者が悪用する可能性のある、さまざまなシナリオが説明されている。その中に含まれる事実として、脅威への対抗を意図したセキュリティ要件が、ドメインから逸脱しているケースや、組織の要件を除外しているケースが挙げられている。また、セキュリティ要件の分析におけるギャップが、選択したソリューションやセキュリティ制御のミスマッチにつながる可能性なども挙げられている。

CISA は、「製品が適切に保護されていない場合や、顧客が疑わしいジオロケーションやメタデータと関連している場合、そして、顧客が外国の利益と関連していると疑われる場合にも、一般的なセキュリティ不備が引き起こされる可能性がある」と記している。

CISA は、調達/取得の段階における脆弱性の低減に役立つ、一連の推奨事項を提示している。

その中で、義務付けるべきとしているのは、ビジネス・プロセスに沿ったかたちで、セキュリティ要件とリスク評価を最新の状態に保つこと、すべてのデータとメタデータのジオロケーションを適切に保護/管理することなどである。

さらに企業は、ドメイン/組織に固有のセキュリティ要件を検証するために、それぞれの役割を割り当てることが必要であり、また、リスク・プロファイルの定義をミッション/エンタープライズなどの領域と連携させるべきだ。

JupiterOne の CISO である Sounil Yu は、「一般的に、ソフトウェアの生産は業界により行われるため、SBOM (software bills of materials) の作成に対して抵抗する、業界の勢力が存在するだろう。ただし、産業界と政府機関の双方がソフトウェアを消費するため、SBOM の共有をサポートすることで、産業界と政府機関に最善の利益が生じる。まずは、政府内の抵抗が減少していくだろう」と述べている。

また、CISA は、すべての取得物に対しても、セキュリティ要件を確立する必要があると述べている。たとえば、スピンオフ/外部団体/サードパーティ・サプライヤーなどを通じてソフトウェアを取得する場合にも、顧客は SCRM (supply chain risk management) 計測値を継続的に監視し、必要に応じて前提条件の変更し、セキュリティ・リスクを軽減するための適切な管理を実施する必要がある。

Tanium の Director of Endpoint Security Research である Melissa Bischoping は、「サードパーティ製品のユーザーは、SBOM ソリューションを用いて正確なインベントリーを維持し、依存関係とリスクを理解する必要がある。私たちは、より多くのソフトウェア・プロバイダーが、依存関係やライブラリに関する明確で透明性のある文書を提供することを望んでいる。したがって SBOM は、脆弱性が出現したときに重要な洞察を提供できる強力なツールとなる」とコメントしている。

サプライチェーンのためのセキュリティ・ガイドラインは、英国の National Cyber Security Centre (NCSC) からも、先月に発表されている。

サプライチェーンのセキュリティを高める、CISA ガイドラインの第三弾です。第一弾の Developper 版は、9月1日の「NSA と CISA のガイダンス:サプライチェーン攻撃から組織を守るために」であり、ここで PDF をダウンロードできます。第二弾の Sipplier 版は、紹介記事を見落としていましたが、ここで PDF をダウンロードできます。そして、今回の Customer 版の PDF は、ここでダウンロードとなります。どれも、Appendix を除くと、20〜35 ページほどのボリュームで、読むとなると時間が必要になりますが、何かのときのために、とりあえずダウンロードしておくと、良いかもしれません。

%d bloggers like this: