CISAと連邦管理予算局(OMB)は、米国政府と協働するソフトウェアメーカーが安全な開発プラクティスを順守しているかどうかを確認するための認証フォームを公表した。この認証フォームで要求される情報の提供を拒んだ場合、どうなってしまうのか。
米国土安全保障省サイバー セキュリティ ・インフラストラクチャ セキュリティ 庁(CISA)と連邦管理予算局(OMB)が2024年3月11日(現地時間、以下同)に発表した同認証フォームは、米国政府と協働するソフトウェアメーカーが安全な開発基準を順守していることを保証するためのものだ。連邦政府のクリス・デルーシャ氏(最高情報 セキュリティ 責任者兼副ディレクター)と、CISAのエリック・ゴールドスタイン氏(エグゼクティブ・アシスタントディレクター)は2024年3月11日に発表されたブログ記事で「ソフトウェアは政府が米国民のために提供するほぼ全てのサービスの基盤となっている」と述べた(注2)。
2人はブログ記事の中で、マルウェア「Sunburst」によるサプライチェーン攻撃を受けた後、国家のサイバーセキュリティ強化を目的とする一連の対策につながった「米国大統領令14028」を引用した。この攻撃は、国家の後ろ盾を得た攻撃者「Nobelium」によるもので(注3)、SolarWindsの多数の顧客に影響を与えた。この認証フォームで要求される情報を提供しなかった場合(注4)、その機関は特定のソフトウェアを使用できなくなる可能性がある。また、故意に虚偽を述べたり、誤解を招くような開示をしたりすると、刑事法に違反する可能性もある。 セキュリティ企業Synopsys Software Integrity Groupのティム・マッキー氏(ソフトウェアサプライチェーンに関するリスク戦略責任者)は、電子メールで「認証は、調達または更新のプロセスで実施される厳格な要件である」と話した。
ソフトウェア企業Endor Labsのクリス・ヒュー氏(チーフセキュリティアドバイザー)によると、ガイドラインに含まれる安全なプラクティスの中には、本番環境と開発環境の分離や多要素認証の使用、定期的なロギングとモニタリングなどが含まれているという。(注1)
日本 最新ニュース, 日本 見出し
Similar News:他のニュース ソースから収集した、これに似たニュース記事を読むこともできます。
「生成AIで防御者は攻撃者より優位に立つ」 Google CloudのCISOが主張するその根拠は?:Cybersecurity DiveGoogle Cloudのフィル・ヴェナブルズ氏(CISO)は、生成AIをセキュリティに利用することで防御者は攻撃者よりも優位に立てるという。同氏は、なぜそのように主張するのか。
続きを読む »
脆弱性の悪用をいつ公表すべきか 情報開示ポリシーを巡るさまざまな主張:Cybersecurity DiveJetBrainsは重大な脆弱性の提供時期や詳細について、Rapid7の研究者と公然と論争している。情報開示ポリシーについて、2社の意見が真っ向からぶつかっている。
続きを読む »
復活するランサムウェアグループとの“いたちごっこ”に終止符を打つには?:Cybersecurity Diveランサムウェアグループのインフラをシャットダウンする取り組みがあったにもかかわらず、ランサムウェアグループの活動はとどまるところを知らない。これらの取り組みの効果は、なぜ限定的になってしまうのか。
続きを読む »
CI/CDツール「TeamCity」に新たに2つの脆弱性 修正版リリースも批判の声:Cybersecurity DiveJetBrainsのCI/CDツール「TeamCity」に新たに2つの脆弱性が見つかった。同社はこれを受けて早期に修正版をリリースしたが、この対応が批判された。一体なぜだろうか。
続きを読む »
ConnectWise ScreenConnectにCVSS10.0の脆弱性 サイバー攻撃者の悪用を確認:Cybersecurity DiveリモートアクセスツールConnectWise ScreenConnectに見つかった2つの脆弱性は、ランサムウェアグループによって積極的に悪用されている。脆弱性のうち一つはCVSSスコアが10.0と評価されている。
続きを読む »
Cyberint、「2024年度Globee® Awards for Cybersecurity」 サイバー脅威インテリジェンス部門で金賞を受賞Cyberint、「2024年度Globee® Awards for Cybersecurity」 サイバー脅威インテリジェンス部門で金賞を受賞 Cyberint Technologies Ltd.のプレスリリース
続きを読む »