fbpx

SSDFのコンプライアンスガイドの概要で知っておきたいこと #aqua #セキュリティ #ソフトウェアサプライチェーン #SecureSoftwareDevelopmentFramework

この記事は1年以上前に投稿されました。情報が古い可能性がありますので、ご注意ください。

New call-to-action

本ブログは「Aqua Security」社の技術ブログで2023年1月24日に公開された「 What To Know: A Summary of the Compliance Guide to SSDF 」の日本語翻訳です。

SSDFのコンプライアンスガイドの概要で知っておきたいこと

---

NIST は最近、ソフトウェア開発ライフサイクルにセキュリティを組み込むための新たな規格「The Secure Software Development Framework」を研究、定義、発表しました。 このフレームワークは、ソフトウェアサプライチェーンセキュリティの大きなギャップに対処するため独自に設計されたもので、組織のコード、インフラ、開発ツールチェーン、依存関係に対する組織的な攻撃にさらされるのを防ぐことができます。例えば、Codecov 社の情報漏えい事件は、サプライチェーンへの攻撃にスポットライトを当てることになりました。

新しいセキュリティ基準:The Secure Software Development Framework

このフレームワークを採用することで、ソフトウェアのサプライチェーンを強化し、侵害の可能性を最小化できます。ソフトウェアで公開される脆弱性の数を減らし、依存関係から危険性を排除し、オープンソースの健全性の変化に適応させ、脆弱性の根本原因に対処します。手際よく、組織の規模、リソース、構造に関係なく、開発チームがセキュリティを導入できるよう柔軟に設計されています。

攻撃者に侵害されやすいアプローチを排除するために、セキュリティとソフトウェア開発をどのように近代化するかについて、戦略を立てたいすべての人に適用される、最も徹底したガイダンスと言えます。ではどのようにこれを可能にするのでしょうか?それは、セキュリティが単一の戦術だと断定しないということです。その代わりに、さまざまなツール、オープンソースのコンポーネント、および組織のリソースに最も適した戦略を組み合わせてアプローチできます。そして、これらの4つの柱の安全な結果を達成することによって成功を定量化します。

  1. 組織を準備する:人、プロセス、技術が安全なソフトウェア開発を行うために準備されていることを確認することで、コードを保護します。組織の準備には、SDLC の詳細な管理、可視性と同様に、ビジネス目標とリスク管理戦略を徹底的に理解することが必要です。この連携が達成されると、経営陣は SDLC 全体を通してセキュリティを強化する新しいプロセスを戦略的に採用することに集中でき、それらをサポートするためにどのような新しい役割と責任を確立すべきかを定義できるようになります。
  2. ソフトウェアを保護する:ソフトウェアのすべてのコンポーネントを、改ざんや不正アクセスから保護します。
  3. 安全性の高いソフトウェアを作成する:セキュリティの脆弱性を最小限に抑え、安全性の高いソフトウェアを作成します。
  4. 脆弱性への対応:ソフトウェアに存在する脆弱性を特定し、類似の脆弱性が発生しないように修正します。

これまでにも、ソフトウェアのサプライチェーンにおけるギャップに対処するためのセキュリティのベストプラクティスを推奨する試みは数多くありましたが、このガイダンスは最も包括的なものです。これら4つの目標を達成するためには、現在の人材、プロセス、技術を徹底的に検討する必要がありますが、これは容易な仕事ではありません。組織独自のソフトウェア開発プロセスの成熟度によって、これらの成果を達成するためにフレームワークに従って必要な戦略が決定されます。うまくいけば、最終的には高度な攻撃を防ぎ、発生した場合でもリスクを軽減できる弾力性のあるソフトウェアサプライチェーンができあがります。

米国政府、新たなセキュリティ基準を採用

---

米国政府は、政府機関がサイバーセキュリティインフラへの攻撃に対していかに脆弱であるかを強く認識しています。2021年5月、米国政府は、サイバーインシデントの予防、検出、評価、是正を通じて国家のサイバーセキュリティを改善することに焦点を当てた大統領令を発表しました。この命令は、政府のサイバーセキュリティインフラに対するより良い信頼性を実現するために、ソフトウェア開発だけでなく多くの分野に及んでいますが、ソフトウェアサプライチェーンは基本的に最大の焦点となる分野です。

セクション4の作成により、ソフトウェアサプライチェーンセキュリティが国家全体のサイバーセキュリティ状態における重要な要素として認識されました。特にすべての政府組織に対して、ソフトウェアサプライヤーとそのベンダーが The Secure Software Development Framework に準拠しているかを再評価することが要求されています。これは、政府機関にソフトウェアや製品を販売する資格があると見なされる組織のあり方を、急速に変化させることに他なりません。

NIST のフレームワークへの準拠を達成するために必要な具体的な準拠要件は42項目あります。

この命令によって設定された積極的なスケジュールにより、すべての企業が The Secure Software Development Framework への準拠を達成する方法を検討し、認証によってそれを証明する方法を理解することが不可欠になっています。Aqua の強力な CNAPP プラットフォームは、The Secure Software Development Framework で設定された標準を30日以内に達成することを可能にする単一統合ツールを組織に提供します。

The Secure Software Development Framework の採用は、事業の継続性やソフトウェアサプライチェーン攻撃の防止など、組織に多くのメリットをもたらします。米国政府は、組織が開発プロセスにおけるセキュリティのアプローチ方法を迅速に再評価するためのきっかけを与えました。さらに、NIST はサイバーセキュリティのガイダンスに関する世界的な権威として認められており、ソフトウェア開発における新常識として、他の政府も同様の基準を反映させることが予想されます。

New call-to-action

New call-to-action

新規CTA