EO 14028 に準拠する方法を知るための新たな一歩

2023年4月27日（米国時間）に公開された CISA の自己証明フォームのドラフトは、EO 14028 コンプライアンスの謎を解き明かすための正しい方向への一歩です。

ようやく、今、バイデン大統領のサイバーセキュリティに関する大統領令（EO 14028）を遵守する方法を理解しようとしてきたすべての人にとっての「答え」が手に入りました。

EO 14028

背景として、EO 14028 により、ソフトウェア・サプライチェーン・セキュリティの概念が多くの人々の世界に入ってきました。バイデン大統領は、その文書の中で、サイバーセキュリティの実践に関して改善すべき「いくつかの重要な領域」について語っています。ここでは、ソフトウェア・サプライチェーンの観点から、ソフトウェア部品表（SBOM）の概念が唐突に主な施策のひとつとなりました。また、大統領は各政府機関の長に対して大統領令で定めた目標を達成するために特定の作業を実行するよう指示していました。

EO のガイダンスはすぐに実現できるようには書かれていない

最初の 1 年間（〜2022）は、指示のあった一連の技術的問題について大統領令で示されたタイムライン内で解決されました。この進捗により、多くの人は、米国政府がソフトウェアおよびソフトウェア搭載機器のサプライヤに対してどのような契約上の義務を課す可能性があるかをすぐに知ることができると信じるようになりましたが、この記事を書いている時点では、その契約文は公開されていないため、契約条件がどうなるかという不安が増幅されました。そして、不安によって、人間は本能的に、認識されたリスクを軽減するための解決策を見つけようとします。

これにより、SBOM が「EO 準拠」の主要な要件であるという誤った信念が生まれました。では、重要でないならば、なぜこの新しい専門用語が大統領の大統領令に 11 回も出てきたのでしょうか?

National Telecommunications and Information Administration（NTIA）は、EO 14028 の下で SBOM の最小要件を定義する任務を負っており、ほとんどの組織にとっての「EO 準拠」の合理的な出発点は、自社が作成するソフトウェアの「SBOM」を作成することです。しかし、気をつけなければならないのは、SBOM を生成することはソフトウェア・サプライチェーンのリスク管理そのものではなく、SBOM を持つことは EO 14028 で期待されていることのすべてを満たしているわけではありません。

2022 年 9 月、行政管理予算局（OMB）がメモ M-22-18 をリリースしたとき、我々は米国政府機関と取引を行うために何が必要になるかについてもう少し学びました。OMB はメモの中で、USG のソフトウェア プロバイダーが、USG による調達の対象となるソフトウェアに対して実行されたアプリケーション開発、セキュリティ、およびテストについて自己証明することを期待していると説明しました。OMB は、国土安全保障省（DHS）の Cybersecurity and Infrastructure Security Agency（CISA）に対して、自己証明基準フォームの作成を求めました。さらに、1 月に入ると、一般調達局（GSA）はメモ MV-23-02 を発行しました。これには、GSA が新しい 政府調達に際して、2023 年 6 月から自己証明書の収集を開始する予定であることが記載されています。

CISA の新たな証明フォームによって明らかに

その背景には多くの事柄が隠れていますが、要するならば、OMB は、NISTのSecure Software Development Framework（SSDF）への準拠が自己認証要件の一部であり、GSA がそれを実施する予定であると効果的に述べていました。 そのため、誰もが SBOM の作成方法を模索している間に、OMB はサプライヤが政府機関に提供するソフトウェアをどのように開発およびテストするかについて自己証明することを想定し、条件を厳しくしたのです。

これは大きな問題です。もし開発チームが SSDF のガイダンス、または SSDF が直接参照するフレームワークに従っていない場合、SSDF への準拠を自己証明することは困難になります。SSDF が新しいアイデアですぐに対処できないという方への朗報は、まだ CISA と OMB が SSDF のすべての活動に準拠することを要求していないということです。CISA が公開した自己証明フォームのドラフトでは、SSDF のタスクのうち 30 のみが明示的に要求されています。もちろん SSDF に完全に従うための計画を立てるべきではないという意味でもありません。

最も良いニュースは、シノプシスが EO 14028 が最初に公開されて以来、それに関連するサイバーセキュリティの想定される進化に注意を払ってきたことです。私たちは、EO 14028 の活動に関連する専門の役割を持つチームを持っており、我々全員が直面している新しいソフトウェア・サプライチェーン・リスク管理の世界で、顧客が戦術的または戦略的なソリューションを必要としているかどうかを確認するのに役立っているといいうことです。

当社の戦術的ソリューションには、シノプシスを Gartner の Critical Capabilities for Application Security Testingの主要プロバイダーとして位置付けたすべての AppSec ツールが含まれています。

当社の戦略的ソリューションは、規制または契約上の義務の一部として SBOM を提供する必要がある場合のための SBOM監査サービス、お客様の SBOM管理作業をサポートするためのプロセス管理、そして最も重要なこととして、今回発表された自己証明である SSDF レディネス評価などを追加し、SSDF のコンプライアンスと認証の目標を達成するためにポートフォリオを拡大しています。

シノプシスは、ソフトウェア・サプライチェーンの現実と複雑さをナビゲートしながら、それらのサプライチェーンのビジネス・リスクに対処できるパートナーです。