[HTML]
H1

詳細ページ

お知らせ表示

2022.11

  • アメリカ
  • セキュリティ、プライバシー
米国のセキュリティ政策の動向
サイバーセキュリティ・インフラストラクチャ・セキュリティ庁(CISA)は、11月10日、政府機関やその他の組織ごとにソフトウェアの脆弱性修正の優先順位を決定するための指針を示す一連の文書を発表した1。このガイダンスを利用するには、脆弱性修正に必要な情報をベンダーが提供することが大きな条件になる。

CISAのエグゼクティブ・アシスタント・ディレクター、エリック・ゴールドスタイン氏は、脆弱性修正の優先順位を決定するために、CISAがカーネギーメロン大学ソフトウェア工学研究所とともにまとめたプロセスである「Stakeholder Specific Vulnerability Categorization(SSVC)」を使用することを奨励している。

CISAが発表した脆弱性修正の優先順位付けシステムは、脆弱性の悪用状況、技術的影響、自動化される可能性、組織の任務への影響、公共福祉への影響という五つを評価することを指示している。

また、議会では、現在審議されているNDAA2023法案について、一部の大手テクノロジー企業は、政府の情報通信技術調達の迅速化を促す条項を支持している。しかしこれは、バイデン大統領が2021年5月に出したサイバーセキュリティを強化する大統領令の実施において依拠している「連邦調達規則(FAR)」を、調達担当者が回避することを可能にするものとなっている2

民主主義防衛財団の上級フェロー、マーク・モンゴメリー氏は、SICI事業体に関する条項をNDAAに含めることに民間業界が反対していると述べ、これによりエコシステムの大部分を抱えるクラウドサービスプロバイダのセキュリティを改善する機会が失われると批判している。

下院版NDAA案の第6722条は、連邦省庁が将来の契約業者にソフトウェア部品表(SBOM)の提出を求めるように指導することを国土安全保障省(DHS)に指示するもの。

これに対し、AWS、グーグルクラウド、VMウェアなどが加盟するアライアンス・フォー・デジタル・イノベーションも10月20日、マイクロソフトやAT&Tなどが加盟する業界団体のグループは9月14日、反対の声明を議会に送付している。

この他、「国家デジタル予備隊」など、連邦政府の技術的能力を向上しようとする案には米国公務員連盟が反対しているが、上院版に含まれているサイバーセキュリティ・インフラストラクチャ・セキュリティ庁(CISA)内に人材プログラムを創設する修正条項は、上下院の交渉で取り上げられることになっている。

また国務省にサイバーセキュリティ局を設置する条項、CISA長官の任期を5年とし、その任命手続きを定める条項も上下院で協議される。

下院法案第1504条も検討対象となっているが、これはDHS長官に「サイバー脅威情報連携環境」の構築を指示するもので、そこでは官民の団体が、政府が費用負担するセンサーなどさまざまなツールを使って情報を収集、分析することを可能にすることが想定されている。

この条項では、国家安全保障局やその他のインテリジェンス機関が共有する機密情報にどの民間団体がアクセスできるかを決定する最終権限はDHS長官に与えられ、国家サイバー長官が同環境整備に主導的な役割を果たすこととされている。

現在、上院では両院の法案を調整し、最終法案に仕上げるプロセスが進められている。

https://www.cisa.gov/blog/2022/11/10/transforming-vulnerability-management-landscape
https://www.congress.gov/bill/117th-congress/house-bill/7900