サイバーセキュリティ大統領令は、新たなソフトウェアセキュリティ標準を求めている

5月12日（水曜）、バイデン大統領は、国家のサイバーセキュリティの改善に関する広範な大統領令（E.O.）に署名しました。 E.O. は主に連邦の省庁、および連邦の請負業者を対象としていますが、その実装基準は、重要インフラストラクチャ業界や関連するテクノロジーサプライヤ全体にはるかに広範な影響を与える可能性があります。

主な指令は次のとおりです。

• 未定義の「重要ソフトウェア」のカテゴリを優先する、新しいソフトウェアセキュリティ標準、ツール、およびベストプラクティスの開発
• ソフトウェア部品表（SBOM）の成熟と脆弱性開示プログラムへの参加
• ソフトウェアコードテストの期待値を形式化
• 消費者向け表記法（ラベリング）を含む、IoTサイバーセキュリティの標準とベストプラクティスの開発
• テクノロジーサプライヤーの侵害通知要件の拡大に加えて、重大なサイバーインシデントを調査するためのサイバー安全審査委員会の設立
• 連邦政府機関が「ゼロトラスト」アーキテクチャを実装し、クラウドを保護するための移行を加速し、他のデータ保護機能に加えて、関連するエンドポイントの検出、応答、ログの保存を採用して、継続的なサプライチェーンリスクを軽減するための要件

なぜ重要なのか

大統領令は、一連の壊滅的なサイバー攻撃の影響を受けているだけでなく、米国は容赦なくますます深刻なサイバー脅威に直面し続けるという認識を表しています。

• 最近の攻撃は非常に破壊的であり、サプライチェーンの重大な脆弱性が露呈
  • SolarWinds：ロシアの諜報機関は、SolarWindsの政府および民間の顧客、18,000人あまりによってダウンロードされたソフトウェアアップデートをトロイの木馬化しました。
  • コロニアルパイプラインへの攻撃：5月8日、コロニアルパイプラインは、ランサムウェア攻撃の結果として、4つのメインラインでの運用を一時的に停止したことを確認しました。
  • ライフライン/重要なインフラストラクチャセクターへの攻撃：過去数か月の間に、当局は、水道施設や病院などの他のライフラインセクターを混乱させる悪意のある第三者による複数の試みを発見しました。
• 大統領令は米国政府の安全の確保に重点を置いているが、その影響範囲は広範
  標準とベストプラクティスは、技術的には連邦の省庁とその技術サプライヤにのみ適用されますが、実行可能な場合は、重要なインフラストラクチャ全体のバイヤーとサプライヤの幅広いカテゴリで「north star」として採用される可能性があります。 セキュリティへの期待、さらに、大統領令は、政府の調達プロセスと契約上の文言を活用して、コンプライアンスを推進しています。これは、商業部門で採用される可能性のあるモデルです。
• 大統領令は官民の情報共有と報告を充実させる取り組みを加速する
  政府と民間企業は、正確で実用的な脅威インテリジェンスを共有するために引き続き苦労しています。 大統領令は、テクノロジープロバイダーが脅威活動に対して持つ独自の可視性を認め、脅威インテリジェンスを共有するための障壁を取り除くことを目指しています。 さらに、大統領令は、ソフトウェア製品およびサービスプロバイダーに対する違反の通知が行われることを期待しています。
• 大統領令は、脅威に基づく防御へのセキュリティ戦略の移行を強調
  連邦政府機関が「ゼロトラスト」アーキテクチャを実装するための要件に加えて、関連するエンドポイントの検出、応答、およびログの保存のプラクティスは、継続的なサプライチェーンの曝露の承認と「妥協を想定する」方向性を反映しています。これら原則は、サプライチェーン関連の脅威の対象となる民間組織にも等しく適用されます。

何をすべきか：技術サプライヤーの観点

大統領令で義務付けられている基準とベストプラクティスはまだ完成していませんが、技術サプライヤーは今すぐ準備を始めることができます。.

• 専用のセキュアソフトウェア開発フレームワークとツールを適用する
  すでに確立されたものを利用することが賢い選択です。NIST Secure Software Development Framework（SSDF）やBlack Duck Building Security in Maturity Model（BSIMM）などの既存の専用のセキュアソフトウェア開発フレームワークは、将来のガイダンスの有用な出発点として役立ちます。 サプライヤーは、現在の慣行をこれらのフレームワークと比較することにより、将来の要件に備えることができます。
• ソフトウェアの透明性を高める
  ソフトウェアの提供者は、ソフトウェアがどのように作成され、テストされ、保護されているかをより深く理解することが期待されます。 これには、各ソフトウェアコンポーネントの出所に関する最新の理解の維持、テスト結果とテスト中に軽減されたリスクの証明、ソフトウェア・ライフサイクル全体を通じて信頼できるソフトウェア・サプライチェーンを維持するための自動プロセスの採用が含まれます。 さらに、大統領令の主要コンポーネントであるソフトウェア部品表（SBOM）は、特にサードパーティのオープンソース・コンポーネントの場合、コードの不透明性を減らすために、アプリケーションの「要素」を文書化して伝達するための共通のフレームワークを提供します。
• 脅威モデリングの適用、対策の検証とATT&CK
  技術プロバイダーは、金銭的利益のため、または顧客環境への足がかりとして、脅威アクターの標的となることを予測し、予想される敵の行動に基づいてセキュリティ対策を適用し検証する必要があります。 最近のサプライチェーン攻撃の構造と関連する戦術、技術、手順（TTP）を理解することで、防御側はリスクベースの対抗策を確実に実施し、ソフトウェアコードやその他の重要な宝石を保護することができます。 MITER CorporationのAdversarial Tactics, Techniques, and Common Knowledge（ATT＆CK）フレームワークは、TTPと防御的対抗策の範囲との間のマッピングのライブラリを通じて役立ちます。
• ゼロトラストの規範の適用
  ゼロトラスト・モデルでは、ユーザーは特定のタスクにネットワークサービスを使用するためのアクセス権を付与され、新しいタスクに対して再認証する必要があります。 セキュリティ計画には、ネットワークノードまたはアクセスポイントでの暗黙の信頼を排除するために、企業およびソフトウェアのライフサイクル内のゼロ信頼の原則も反映する必要があります。 これは、相互接続された従来のネットワーク境界、開発環境、およびクラウド対応サービスの間の単一の弱点を特定するための攻撃者の取り組みを複雑にします。