米国土安全保障省サイバー セキュリティ ・インフラストラクチャ セキュリティ 庁(CISA)と連邦管理予算局(OMB)が2024年3月11日(現地時間、以下同)に発表した同認証フォームは、米国政府と協働するソフトウェアメーカーが安全な開発基準を順守していることを保証するためのものだ。連邦政府のクリス・デルーシャ氏(最高情報 セキュリティ 責任者兼副ディレクター)と、CISAのエリック・ゴールドスタイン氏(エグゼクティブ・アシスタントディレクター)は2024年3月11日に発表されたブログ記事で「ソフトウェアは政府が米国民のために提供するほぼ全てのサービスの基盤となっている」と述べた(注2)。
2人はブログ記事の中で、マルウェア「Sunburst」によるサプライチェーン攻撃を受けた後、国家のサイバーセキュリティ強化を目的とする一連の対策につながった「米国大統領令14028」を引用した。この攻撃は、国家の後ろ盾を得た攻撃者「Nobelium」によるもので(注3)、SolarWindsの多数の顧客に影響を与えた。この認証フォームで要求される情報を提供しなかった場合(注4)、その機関は特定のソフトウェアを使用できなくなる可能性がある。また、故意に虚偽を述べたり、誤解を招くような開示をしたりすると、刑事法に違反する可能性もある。 セキュリティ企業Synopsys Software Integrity Groupのティム・マッキー氏(ソフトウェアサプライチェーンに関するリスク戦略責任者)は、電子メールで「認証は、調達または更新のプロセスで実施される厳格な要件である」と話した。
ソフトウェア企業Endor Labsのクリス・ヒュー氏(チーフセキュリティアドバイザー)によると、ガイドラインに含まれる安全なプラクティスの中には、本番環境と開発環境の分離や多要素認証の使用、定期的なロギングとモニタリングなどが含まれているという。(注1)
日本 最新ニュース, 日本 見出し
Similar News:他のニュース ソースから収集した、これに似たニュース記事を読むこともできます。
ソース: topitmedia - 🏆 93. / 51 続きを読む »
ソース: topitmedia - 🏆 93. / 51 続きを読む »
ソース: topitmedia - 🏆 93. / 51 続きを読む »
ソース: topitmedia - 🏆 93. / 51 続きを読む »
ソース: topitmedia - 🏆 93. / 51 続きを読む »
ソース: PRTIMES_TECH - 🏆 113. / 51 続きを読む »