サイバー・セキュリティ大統領令は、新たなソフトウェア・セキュリティ標準を求めている
バイデン大統領のサイバー・セキュリティ大統領令には、新しいソフトウェア・セキュリティ標準とベスト・プラクティスが必要です。準備するために何ができるかを学びましょう。
Tim Mackey, Principal Security Strategist, Synopsys Cybersecurity Research Center (CyRC) と Adam Isles, Principal, The Chertoff Group による共著
5月12日(水曜)、バイデン大統領は、国家のサイバーセキュリティの改善に関する広範な大統領令(E.O.)に署名しました。 E.O. は主に連邦の省庁、および連邦の請負業者を対象としていますが、その実装基準は、重要なインフラストラクチャセクターおよび関連するテクノロジーサプライヤ全体にはるかに広範な影響を与える可能性があります。
主な指令は次のとおりです。
- 未定義の「重要なソフトウェア」のカテゴリを優先する、新しいソフトウェア・セキュリティ標準、ツール、およびベスト・プラクティスの開発
- ソフトウェア部品表(SBOM)の成熟と脆弱性開示プログラムへの参加
- ソフトウェアコードテストの期待値を形式化
- 消費者向け表記法(ラベリング)を含む、IoTサイバーセキュリティの標準とベストプラクティスの開発
- テクノロジー・サプライヤーの侵害通知要件の拡大に加えて、重大なサイバー・インシデントを調査するためのサイバー安全審査委員会の設立
- 連邦政府機関が「ゼロトラスト」アーキテクチャを実装し、クラウドを保護するための移行を加速し、他のデータ保護機能に加えて、関連するエンドポイントの検出、応答、ログの保存を採用して、継続的なサプライチェーンリスクを軽減するための要件
なぜ重要なのか
大統領令は、一連の壊滅的なサイバー攻撃の影響を受けているだけでなく、米国は容赦なくますます深刻なサイバー脅威に直面し続けるという認識を表しています。
- 最近の攻撃は非常に破壊的であり、サプライチェーンの重大な脆弱性が露呈
- SolarWinds:ロシアの諜報機関は、SolarWindsの政府および民間の顧客、18,000人あまりによってダウンロードされたソフトウェアアップデートをトロイの木馬化しました。
- コロニアルパイプラインへの攻撃:5月8日、コロニアルパイプラインは、ランサムウェア攻撃の結果として、4つのメインラインでの運用を一時的に停止したことを確認しました。
- ライフライン/重要なインフラストラクチャ・セクターへの攻撃:過去数か月の間に、当局は、水道施設や病院などの他のライフライン・セクターを混乱させる悪意のある第三者による複数の試みを発見しました。
- 大統領令は米国政府の安全の確保に重点を置いているが、その影響範囲は広範
標準とベストプラクティスは、技術的には連邦の省庁とその技術サプライヤにのみ適用されますが、実行可能な場合は、重要なインフラストラクチャ全体のバイヤーとサプライヤの幅広いカテゴリで「north star」として採用される可能性があります。 セキュリティへの期待。 さらに、大統領令は、政府の調達プロセスと契約上の文言を活用して、コンプライアンスを推進しています。これは、商業部門で採用される可能性のあるモデルです。 - 大統領令は官民の情報共有と報告を充実させる取り組みを加速する
政府と民間企業は、正確で実用的な脅威インテリジェンスを共有するために引き続き苦労しています。 大統領令は、テクノロジープロバイダーが脅威活動に対して持つ独自の可視性を認め、脅威インテリジェンスを共有するための障壁を取り除くことを目指しています。 さらに、大統領令は、ソフトウェア製品およびサービスプロバイダーに対する違反の通知が行われることを期待しています。 - 大統領令は、脅威に基づく防御へのセキュリティ戦略の移行を強調
連邦政府機関が「ゼロトラスト」アーキテクチャを実装するための要件に加えて、関連するエンドポイントの検出、応答、およびログの保存のプラクティスは、継続的なサプライチェーンの暴露の承認と「妥協を想定する」方向性を反映しています。これら原則は、サプライチェーン関連の脅威の対象となる民間組織にも等しく適用されます。
何をすべきか:技術サプライヤーの観点
大統領令で義務付けられている基準とベストプラクティスはまだ完成していませんが、技術サプライヤーは今すぐ準備を始めることができます。.
- 専用の安全なソフトウェア開発フレームワークとツールを適用する
すでに確立されたものを利用することが賢い選択です。NIST Secure Software Development Framework(SSDF)やSynopsys Building Security in Maturity Model(BSIMM)などの既存の専用の安全なソフトウェアフレームワークは、将来のガイダンスの有用な出発点として役立ちます。 サプライヤーは、現在の慣行をこれらのフレームワークと比較することにより、将来の要件に備えることができます。 - ソフトウェアの透明性を高める
ソフトウェアの提供者は、ソフトウェアがどのように作成され、テストされ、保護されているかをより深く理解することが期待されます。 これには、各ソフトウェアコンポーネントの出所に関する最新の理解の維持、テスト結果とテスト中に軽減されたリスクの証明、ソフトウェアライフサイクル全体を通じて信頼できるソフトウェアサプライチェーンを維持するための自動プロセスの採用が含まれます。 さらに、大統領令の主要コンポーネントであるソフトウェア部品表(SBOM)は、特にサードパーティのオープンソースコンポーネントの場合、コードの不透明性を減らすために、アプリケーションの「要素」を文書化して伝達するための共通のフレームワークを提供します。 - 脅威モデリングの適用、対策の検証とATT&CK
技術プロバイダーは、金銭的利益のため、または顧客環境への足がかりとして、脅威アクターの標的となることを予測し、予想される敵の行動に基づいてセキュリティ制御を適用および検証する必要があります。 最近のサプライチェーン攻撃の構造と関連する戦術、技術、手順(TTP)を理解することで、防御側はリスクベースの対抗策を確実に実施し、ソフトウェアコードやその他の重要な宝石を保護することができます。 MITER CorporationのAdversarial Tactics, Techniques, and Common Knowledge(ATT&CK)フレームワークは、TTPと防御的対抗策の範囲との間のマッピングのライブラリを通じて役立ちます。 - ゼロトラストの規範の適用
ゼロトラスト・モデルでは、ユーザーは特定のタスクにネットワーク・サービスを使用するためのアクセス権を付与され、新しいタスクに対して再認証する必要があります。 セキュリティ計画には、ネットワークノードまたはアクセスポイントでの暗黙の信頼を排除するために、企業およびソフトウェアのライフサイクル内のゼロ信頼の原則も反映する必要があります。 これは、相互接続された従来のネットワーク境界、開発環境、およびクラウド対応サービスの間の単一の弱点を特定するための攻撃者の取り組みを複雑にします。
何をすべきか:技術バイヤーの観点
- サプライチェーンのリスク管理要件を調整
バイヤーは、SSDFやBSIMMなどのガイダンスのレビューを開始して、それらを契約要件やSLAに組み込む方法、および関連する独立した妥当性確認と検証のテストと違反通知アクティビティを検討します。 - ソフトウェア部品表の利用を検討
ソフトウェア部品表は、サードパーティのオープンソース・ソフトウェア・ライブラリが、商用、プロプライエタリ、またはオープンソースのいずれであっても、ソフトウェア製品に組み込まれている透明性をもたらします。 バイヤーは、この情報を利用して、National Vulnerability Databaseに開示されているパッチが適用されていない脆弱性など、各アプリケーション内のリスクを特定できます。 脆弱性の開示はアプリケーションの存続期間を通じて発生するため、すべてのパッチがアプリケーションまたはそのライブラリの発信元と一致することを検証するのと同様に、新しい開示の継続的な監視プロセスを実装することは、完全にパッチが適用されたデプロイメントを維持するための鍵です。 バイヤーは、特定の弱点、脆弱性、パッチ、または関連する緩和策の適用可能性について疑問がある場合は、サプライヤーに証明を求める必要があります。 - ゼロトラストの適用
バイヤーは、サプライチェーンのリスクが続くことから自分の環境を保護するための「ゼロトラスト」、脅威に基づいた防御アプローチを検討する必要があります。
脅威モデリングでよりセキュアにしたいなら
