ホワイトハウスがサイバーセキュリティ戦略を転換:レジリエンス(回復力)を高める #aqua #セキュリティ #ソフトウェアサプライチェーン #sscs
この記事は1年以上前に投稿されました。情報が古い可能性がありますので、ご注意ください。
本ブログは「Aqua Security」社の技術ブログで2023年3月3日に公開された「 White House Shifts Cybersecurity Strategy to Drive Resilience 」の日本語翻訳です。
ホワイトハウスがサイバーセキュリティ戦略を転換:レジリエンス(回復力)を高める
今週ホワイトハウスは、米国政府行政がサイバーセキュリティに対して取っている包括的なアプローチを詳述した最新の「国家サイバーセキュリティ戦略」を発表しました。
この戦略には、官民の協力に基づいた3つの柱があり、サイバーセキュリティのシステム上の課題への対応、業界へのインセンティブの再調整が盛り込まれています。
そして第3の柱として、特に「セキュリティとレジリエンスを推進するための市場原理」の形成、または再形成について述べています。この柱は、セキュアバイデザインの開発手法の実施を義務付けることで、セキュリティの脆弱性に対する責任をソフトウェアの消費者からソフトウェアの作成者に移すことを目的としています。
この柱の背景にはいくつかの理由が考えられますが、明らかなことは、この方向性が安全なデジタルエコシステムを確立するための鍵となることです。今日のソフトウェアでは、すべてが依存関係にあり、安全でないソフトウェアがもたらすトリクルダウン効果は甚大です。一例を挙げると、連邦政府機関のセキュリティを向上させることを目的とした大統領令14028の遵守は、ソフトウェアプロバイダーも自社製品を安全にする責任を負わなければ、事実上不可能となります。
戦略目標3.3「安全でないソフトウェア製品およびサービスに対する責任の転換」は、ソフトウェア企業のセキュリティのあり方を変える可能性があります。これは、3つのインパクトのあるアクションに分けることができます。
- ソフトウェアプロバイダーが、リリースするソフトウェアのセキュリティに責任を持つようにする法律の整備です。この種の法律は、契約条項によって責任を免れることを、不可能ではないにしても、非常に困難にします。
- さまざまなタイプのソフトウェアプロバイダーに対応できるセーフハーバーフレームワークを開発することです。これは、NIST Secure Software Development Framework (SSDF) を参考にし、先進的なソフトウェアサプライチェーンセキュリティ技術を含むよう進化し続けます。
- 上記の採用を促進するためのインセンティブを開発することです。(例. 連邦政府の購買力など)
今、これは何を意味するのか
実際のところ、戦略から実行までは長い道のりです。しかし、将来起こりうる責任と、ソフトウェア企業にますます求められるようになるセキュリティ基準については、はっきりと理解できます。
SSDF を推進フレームワークとして採用すると、企業にとってコンプライアンスを満たすことは非常に難しい場合があります。従来のアプリケーションセキュリティテスト、サプライチェーンのポスチャ管理、高度なスキャン/分析、SBOM 生成と証明のためのツール、これらすべてを管理するとなると、6~8 種類のツールが必要となります。別の方法としては、1~2 種類の専用ツールを活用することです。
Aqua プラットフォームは、そのような専用ツールの1つです。このプラットフォームは、異なるレイヤー(コード、プロセス、開発インフラ)をカバーし、セキュリティの展開とコンプライアンスの認証の両方を自動化します。このプラットフォームは、SBOM と来歴に関するコンプライアンス要件を満たす次世代 SBOM を提供します。また、整合性スキャンやオープンソースの健全度判定などの独自のメカニズムで高度な脆弱性検知を実現し、巧妙化したサプライチェーン攻撃をより効果的で信頼性の高い方法で検知します。
まとめ
ソフトウェアのセキュリティを正しく行う企業は、短期的には、大きな差別化を図ることができます。ソフトウェアの透明化は間近に迫っており、企業のセキュリティは(大部分を SBOM 経由で)公開され、外見上脆弱な企業よりも高いセキュリティを持つ企業の方が好まれるようになるでしょう。長期的には、ソフトウェアセキュリティは事業継続の鍵となり、コンプライアンス違反は許容されなくなる恐れがあります。Aqua のプラットフォームと、コンプライアンスを自動化するためのプレイブックは、企業がこのプロセスを容易に実践し、イノベーションへ再注力可能にするため構築されています。