バイデン大統領が2021年5月に発令した「国家のサイバーセキュリティ向上に関する大統領令」の目標の1つが達成されれば、ソフトウェア製品の購入を検討する際に品質とセキュリティの保証ラベルを目安にすることができます。特に品質やセキュリティに対する関心が高い人は、「そろそろ実現してもいい頃だ」と言うかもしれません。
他のほとんどの業種では、消費者に対するラベリング表示を以前から当たり前に行っていました。飲食物のパッケージや容器に成分表示があるのは当然のこととされています。米国農務省は、食品販売業者がオーガニック認証を受けた商品に使用できるラベルを発行しています。幅広い製品を対象に、最低限の品質基準を満たしていることを保証するグッド・ハウスキーピング・シールとUL認証はよく知られています。「ユニオンラベルを探せ」がスローガンになったのは50年ほど前です。
一方、ソフトウェア成分の品質に関する詳細や認証の表示はどうでしょうか。多くはありません。ほとんどないと言ってもいいでしょう。
消費者のサイバーセキュリティに関する意識の現状
現代のアメリカ人の生活は、コミュニケーション(電子メール、テキストメッセージ、携帯電話)、ソーシャルメディア、オンラインショッピング、ゲーム、研究/調査、ホームセキュリティ、運輸など、ほぼ全面的にソフトウェアに依存していますが、その内容、機能、品質やセキュリティのレベルについて明確に認識している人はほとんどいません。
米国国立標準技術研究所(NIST)は最近、「ほとんどの消費者は、多くの製品やサービスで利用されているソフトウェアを当然のものと考え、その存在を意識していないばかりか、ソフトウェアを構成する要素の概念さえよくわかっていない可能性がある」と発言しています。それは消費者に与えられる情報が少ないためです。消費者は、総じて、ソフトウェアの実行内容だけに注目し、その内容、作成者、機能、起こり得るリスクについては無頓着です。
バイデン政権の大統領令(EO)は、明らかに消費者意識のギャップを埋めることを目的としています。この大統領令では、NIST、連邦取引委員会、その他の機関に対し、「IoT製品とソフトウェア開発プラクティスのセキュリティ能力について一般市民を教育するために、既存の消費者向け製品ラベリングプログラムから情報を得たパイロット・プログラムを開始し、製造業者や開発チームにインセンティブを与えてこれらのプログラムへの参加を促す方法を検討する」よう求めています。
また、同様の言葉を用いて消費者向けソフトウェアのラベリングを求めています。
あるレベルでは、こうした指令に説得力があります。使用しているソフトウェアを信頼できなければビジネスが危機にさらされます。消費者にも同じことが言えます。アプリや機器を動かしているソフトウェアを信頼できない場合、個人情報や財務情報がリスクにさらされます。
では、ラベルはセキュリティ意識の向上に有効な方法なのでしょうか。シノプシス ソフトウェア・インテグリティ・グループのシニア・プロダクト・マネージャーであるDebrup Ghoshには確信が持てません。「ラベル表示が消費者の意識向上の効果的な方法であるかどうかについては、まだ検討中です」とGhoshは言います。「例えば、連邦食品安全法によって遺伝子組換え作物(GMO)に対する意識が向上したかどうかに関する決定的なデータはありません。調査によっては相反する結果が報告されています」
消費者向けIoT製品でも、検証する必要がある2つの主な仮説はGMOの場合に似ています。第一に、消費者はラベルの意味を理解しているか。第二に、消費者はラベルの内容を気にしているか。
ご多分に漏れず、それはまだ確認されていません。しかし、英国で行われ、PLOS Medicine誌に掲載された2021年の調査によると、色分けされた食品ラベルは一定の効果をもたらしました。この調査によると、食品ラベルの色分けは「より健康的な製品を選択するように消費者を『促す』のに役立ち、この行動の変化を定着させるための根本的な心理的メカニズムである可能性があります」。
サイバーセキュリティのラベリング基準
ソフトウェアのラベリングが影響力を持つかどうかが判明するまでには、長い時間がかかります。まずNISTは今月初め、バイデン大統領の行政命令(EO:大統領令)を受けて、消費者向けソフトウェアと消費者向けIoT製品のサイバーセキュリティに関するラベリングの推奨基準を示す2つのホワイトペーパーを発行しました。
ホワイトペーパーはいくつかの注意事項から始まります。
- NISTの推奨事項は「最小要件と望ましい属性」です。
- 推奨事項は、サイバーセキュリティ・ラベルを明示的に表示する方法やラベリングプログラムの所有・運営の詳細な方法を説明することを意図したものではありません。
- NISTは、特定のラベルを設計したり、消費者向けソフトウェアやIoT製品のための独自のラベリングスキームを確立しているわけではなく、ラベリングプログラムに関するすべてのステークホルダーからの意見を求めているところで(期限は3月15日)、「現在はNISTが推奨する基準の全部または一部を満たすラベリング・プログラムが存在するかもしれない」と述べています。
NISTはいくつかの指針を提示し、ラベリングにはソフトウェア製品の使用またはリスク・レベルを考慮に入れた背景情報が必要であるとしています。レーシングカーのドライバーを適切に保護するには標準的な乗用車の場合よりもはるかに大掛かりな装備が必要であることは誰でも知っていますが、これらのコンポーネントの一部にも同じことが言えるかもしれません。
「ソフトウェアに伴うリスクは目的とされる用途(機能面と運用面の双方)に密接に結びついている」とNISTは指摘しています。「モバイルゲームに適したサイバーセキュリティの考慮事項は、オンライン・バンキング・アプリを使用する場合や自動車でメディアステーション(音楽などを再生するセンターコンソールの端末。スマートフォンなどを接続して利用するものも多い)を実行する場合とは異なるものになるでしょう」。
ホワイトペーパーは、ラベリングのための構造を提案していますが、詳細については検討の余地を多く残しています。例えば、この取り組みを開始するには、「ラベリングのスキームとスキームの所有者」が必要ですが、スキームの所有者は公的機関でも民間企業でも構いません。
ただし、NISTは、スキームの提案では次の質問事項に回答することを要求しています。
- ラベルを取得するための要件は?
- ラベルの外観と記載する情報内容は?
- ラベルを取得してソフトウェアに表示するプロセスは?
しかし、スキームの所有者もスキームもまだ定まっていない段階で、しかもNISTが指摘したように、「あらゆる種類の消費者向けソフトウェアに適用できるサイバーセキュリティの万能の定義はない」ため、これらの質問事項への答えを得られるまでにはしばらく時間がかかるでしょう。
ここでも、NISTは、対象範囲、セキュリティ更新プログラムのサポートの最低有効期間、更新方法、これらの請求を行うエンティティのIDなど、ラベリングの背景情報に関する詳細なガイダンスを提示しています。
簡潔に保つ
ラベルには、バイデン政権の大統領令に対応して更新されたNISTのセキュア・ソフトウェア開発フレームワークに沿ったセキュアなソフトウェア開発の主張も含める必要がありますが、
とてもラベルには 収まり切りません。全体的な目標は、ラベルの表記をなるべく簡潔に保ち、一般の消費者が、購入を検討している製品を実行するソフトウェアの品質とセキュリティを信頼し、技術的な専門用語に混乱しないで済むようにすることです。NISTは、中学2年生が理解できる程度の内容を記載することを要求しています。
シノプシス ソフトウェア・インテグリティ・グループのアプリケーション・エンジニア兼主任を務めるMichael Whiteによると、この程度の分かりやすさが重要だということです。英国のある調査によると、更新プログラムを受け取る日付が寿命として引用されていると、調査対象者の13%はこれが製品自体の有効期限を意味すると考えていた、とWhiteは指摘します。「伝達する情報の明快さとスタイルを詳細に検討する必要があります」とWhiteは言います。
NISTも同様の見解を示し、ラベルは「サイバーセキュリティの専門知識がなくても多様な消費者が使用できる」ようにするべきだとしています。これを実現するために、単一のラベルで製品が最低限のサイバーセキュリティ基準を満たしていることを示すバイナリ・ラベルを推奨しています。
実際、NISTはフレームワークの「ラベル表示基準のための追加コンテキスト」セクション全体を割いて、スキーム所有者がすべての消費者層を対象にしたフォーカスグループを実施し、ソフトウェアの購入に際して消費者が最適な選択を行えるようなラベル表記の方法を見つけることを推奨しています。
Ghoshは教育キャンペーンの強化に賛同しながらも、潜在的な予算問題を予見しています。「NISTは、資金調達の方法を具体的に述べていません」とGhoshは言います。「適切な資金調達手段を確保するために、このスキームを実施する前に製造業者や業界団体から賛同を得ることが不可欠になるでしょう」。
予想されるサイバーセキュリティ・ラベリングの詳細
詳細情報や技術情報が必要な人のために、ラベルには少なくとも以下の追加情報を含むWebサイトへのリンクを記載する必要があります。
- 目的と範囲:ラベルの意図を示し、ラベルがある製品の方がラベルのない製品よりセキュリティが高い、またはラベルが製品推奨を意味するといった誤解を招く可能性をなくす
- 製品基準:ベースラインに含まれるサイバーセキュリティのプロパティ、およびそのプロパティが選択された理由と方法
- 用語集:平易な言葉で書かれた適用可能な技術用語の定義
- 適合宣言:ベースライン基準への適合性評価に関する一般情報(ラベルが最後に付けられた日付など)
- ユーザーデータのガイドライン:ソフトウェアによって処理される機密データとその保護方法
- 適用性の変更:新しいサイバーセキュリティの脅威や脆弱性が出現した時点の製品ラベリングの現状
- 消費者への期待:ソフトウェアのセキュリティに対する消費者の責任分担の明確な説明
- ラベリングプログラムの連絡先情報:消費者がラベルに関する苦情をベンダーに申し立てる方法を記載する必要がある
上記の情報はどれもわかりやすく、役に立ちそうですが、シノプシス ソフトウェア・インテグリティ・グループのシニア・コンサルタントであるJamie Booteは、このラベルを利用するのは一般の消費者だけではないと指摘します。政府機関の調達担当者もラベルを読みます。
「ソフトウェアの入札を受諾または拒否するために契約担当者もラベルを読みます」とBooteは言います。「これは、手作業による政府調達手続きに従っている場合には実行可能ですが、自動化された意思決定プロセスで自動的に緩和策を受諾、拒否、または適用することができる機械可読形式でエンコードされていなければ実質的な効果がなく、箱に貼り付ける単なるステッカーにすぎません。
今後の展望
ラベルの表示を開始する時期については、大統領令では、発令されてから9か月後にパイロットプログラムを開始するよう求めており、その期限は1か月以上前の2月初旬とされています。一方、正式プログラムの開始時期については相当な融通の余地を残しています。
この大統領令の1年後、商務長官(NISTは商務省の傘下にある)は「このセクションの下で行われた作業の進捗状況を評価し、ソフトウェア・サプライチェーンのセキュリティを強化するために必要な追加手順を概説する報告書を大統領に提供しなければならない」としています。
これらの追加手順にかかる時間には期限がありません。
Continue Reading
2024 OSSRA レポート:オープンソース・コンポーネントの古いコードのリスク
Apr 17, 2024 / 1 min read
![[CyRC脆弱性勧告]CVE-2023-23846 Open5GS GTPライブラリのサービス拒否の脆弱性](https://images.synopsys.com/is/image/synopsys/cyrc-advisory-open5gs-gtp-library?ts=1697087353416&$responsive$)
