ゼファーネットのロゴ

生成的データ インテリジェンス

サイバーセキュリティ

NRC がネットワークとソフトウェアのセキュリティを向上させるための推奨事項を発表

プラトン再発行
プラトン再発行

日付:

閲覧数: 153

  ネットワークの復元力 連立 時代遅れで不適切に構成されたソフトウェアやハードウェアによって生じる脆弱性を軽減することで、ネットワーク セキュリティ インフラストラクチャを改善することを目的とした推奨事項を発行しました。 NRCメンバーは、米国政府のサイバーセキュリティ指導者らとともに、ワシントンDCでのイベントで推奨事項の概要を説明した。

サイバーセキュリティ政策法センターによって 2023 年 XNUMX 月に設立された NRC は、ネットワーク オペレーターと IT ベンダーが連携して製品のサイバー回復力を向上させることを目指しています。 NRCの ホワイトペーパー これには、安全なソフトウェア開発とライフサイクル管理に取り組むための推奨事項が含まれており、ソフトウェア サプライ チェーンのセキュリティを向上させるためのセキュア バイ デザインおよびデフォルトの製品開発が含まれています。

NRC のメンバーには、AT&T、Broadcom、BT Group、Cisco、Fortinet、Intel、Juniper Networks、Lumen Technologies、Palo Alto Networks、Verizon、VMware が含まれます。

同団体は、すべてのITベンダーに対し、国家の脅威アクターが適切に保護、パッチ適用、保守がされていないハードウェアやソフトウェアの脆弱性を悪用して重要インフラへの攻撃を強化しているという政府の警告に留意するよう呼び掛けている。

彼らの勧告はバイデン政権の方針と一致している。 令14208、ソフトウェアサプライチェーンのセキュリティの向上を含む、最新のサイバーセキュリティ標準を求めています。これらはサイバーセキュリティ・インフラストラクチャ・セキュリティ局 (CISA) にもマップされます。 セキュリティバイデザインとデフォルト ガイダンスと昨年発行された政府のサイバーセキュリティ法に準拠しています。 

CISA サイバーセキュリティ担当エグゼクティブアシスタントディレクターのエリック・ゴールドスタイン氏は、グループの結成とその 6 か月後の白書の発表について、驚くべきだが歓迎すべき展開であると述べた。 「率直に言って、ネットワーキングプロバイダー、テクノロジープロバイダー、およびデバイスメーカーが団結して、製品エコシステムのサイバーセキュリティを向上させるために共同でさらに多くのことを行う必要があるという考えは、数年前であっても異質な概念だったでしょう」とゴールドスタイン氏は述べた。 NRCイベント中。 「それは忌まわしいことだっただろう。」

NIST の SSDF および OASIS Open EoX の採用

NRC はベンダーに対し、自社のソフトウェア開発手法を NIST の手法とマッピングするよう呼びかけています。 セキュアなソフトウェア開発フレームワーク (SSDF)、サポート期間とパッチのリリース期間について詳しく説明します。また、ベンダーはセキュリティ パッチを機能アップデートにバンドルするのではなく、個別にリリースする必要があります。同時に、顧客は重要なパッチを個別に発行し、SSDF に準拠することに取り組んでいるベンダーを重視する必要があります。

さらに、NRC はベンダーがサポートすることを推奨しています。 OpenEoXは、プロバイダーがリスクを特定し、リリースするすべての製品について機械可読形式でサポート終了の詳細を伝達する方法を標準化するために、2023 年 XNUMX 月に OASIS によって開始された取り組みです。

シスコの最高トラスト責任者マット・フッサ氏は、世界中の政府は経済全体をより安定、回復力、安全なものにする方法を模索していると述べた。 「すべての企業は、CISAや米国政府全体と緊密に連携して、ソフトウェアの請求書や資料の作成、安全なソフトウェア開発慣行への取り組みと展開などのベストプラクティスを推進していると思います」と福生氏は今週のNRCプレスイベントで述べた。

ソフトウェアの透明性を高め、より安全なビルド環境を確立し、ソフトウェア開発プロセスを強化する取り組みは、重要なインフラストラクチャを超えたセキュリティの向上につながると福生氏は付け加えた。 「こうしたことが業界で標準になるにつれ、政府の外にも波及効果が生じるだろう」と同氏は語った。 

説明会の直後に行われたメディア向けのQ&Aで、シスコの福生氏は、ベンダーが自社製品に含まれるオープンソースおよびサードパーティコンポーネントのSBOMや自己認証の発行に関する大統領令の順守が遅れていることを認めた。 「私たちが驚いたことの 1 つは、生産の準備が整うと、完全にコオロギではありませんでしたが、予想よりも生産量が少なかったことです」と彼は言いました。 「時間が経つにつれて、人々がその使用方法に慣れてきたので、それが普及し、最終的には一般的になるのではないかと思います。」

早急な対応が推奨される

福生市は利害関係者に対し、新たな報告書で概説された慣行の採用を直ちに開始するよう促している。 「皆さんには、これを緊急に実行すること、緊急に SSDF を展開すること、緊急に SBOM を構築して顧客に提供すること、そして率直に言って、緊急を持ってセキュリティを推進することについて考えることをお勧めします。なぜなら、脅威アクターは待っているわけではないからです。そして彼らは、私たちのすべてのネットワークを悪用する新たな機会を積極的に探しています。」

業界コンソーシアムとして、NRC ができることは、メンバーにその勧告に従うよう奨励することくらいしかできません。しかし、白書は大統領令と一致しているため、 国家サイバーセキュリティ戦略 ホワイトハウスが昨年発表したこの指針を遵守することで、ベンダーは避けられない事態に備えることができると福生氏は信じている。同氏はさらに、「この文書に記載されている提案の多くは、欧州でも米国でも法律に基づく要件となるだろう」と付け加えた。

NCC グループのインフラストラクチャ セキュリティのグローバル プラクティス ディレクターであるジョーダン ラローズ氏は、コンソーシアムの取り組みに ONCD と CISA が支援していることは注目に値すると述べています。しかし、この論文を読んだ彼は、それがまだ入手できない情報を提供しているとは信じていませんでした。 

「このホワイトペーパーはそれほど詳細なものではありません」とラローズ氏は言います。 「それは枠組み全体の概要を示すものではありません。 NIST SSDF については言及していますが、ほとんどの人が抱く疑問は、NIST SSDF を読みに行けるのにこのホワイトペーパーを読む必要があるのか​​ということだと思います。」

それにも関わらず、これは利害関係者が安全性を重視した設計プロセスを開発し、推奨される耐用年数終了モデルを実装しない場合に直面する潜在的な要件と責任を受け入れる必要性を強調している、とラローズ氏は指摘する。

フォーティネットの製品テクノロジーおよびソリューション担当上級副社長、カール ウィンザー氏は、製品にセキュリティを最初から組み込むあらゆる取り組みが重要であると述べました。ウィンザー氏は、この報告書が SSDF や NIST と CISA による他の研究を取り入れていることに特に勇気づけられると述べた。 「最初から NIST 標準に合わせて製品を構築すれば、世界中で発売されている他のすべての標準に 90 ~ 95% 準拠することになります。」と彼は言いました。

スポット画像

最新のインテリジェンス

スポット画像

著作権 @ 2024 Plato Technologies Inc.