トランプ政権は、各省庁が安全なソフトウェアを購入できるようにすることを目的としていたバイデン政権時代のメモを撤回しており、現行の行政管理予算局(OMB)は、それが「実証されておらず負担の大きい」プロセスに依拠していたと述べている。
バイデン政権の元当局者は、この動きは「サイバーセキュリティの面で、政権が後退する最初の大きな政策的ステップだと私が見たものだ」と語った。
問題となっているのは、2022年のOMBメモ「安全なソフトウェア開発慣行を通じたソフトウェア・サプライチェーンのセキュリティ強化」と題する、M-22-18だ。政権は金曜日にこのメモを撤回した。
このメモにより、政府機関向けの共通の「安全なソフトウェア開発自己証明フォーム」が作成され、請負業者は自社ソフトウェアが一定のセキュリティ慣行に準拠していることを保証するためにこれを使用しなければならなかった。各省庁は、製品のセキュリティを自己証明できないソフトウェアベンダーから購入することができなかった。
「各省庁の長は、当該省庁のネットワーク上で稼働を許可されるソフトウェアおよびハードウェアのセキュリティを確保する最終的な責任を負う」と、OMB長官ラッセル・ヴォートは金曜日、各省庁の長宛ての短いメモで記した。「その結果を達成するための普遍的で、万人に当てはまる方法は存在しない。各省庁は、安全な開発原則を用い、包括的なリスク評価に基づいて、提供者のセキュリティを検証すべきである。」
バイデン政権下の国家サイバー長官室(ONCD)でサイバー政策・プログラム担当の国家サイバー長官補を務めたニック・ライザーソンはCyberScoopに対し、2022年のメモの撤回は後退だと語った。というのも、そのメモは政府の購買力を使って市場に影響を与えることを意図しており、その廃止は「政府システムのセキュリティにとっても、米国経済全体で使われているソフトウェアにとっても良くない」からだという。
このメモは、主要なSolarWinds侵害への対応として出されたバイデン政権最初の大統領令に端を発しており、同侵害では、ロシアのハッカーとされる者らによって各省庁が侵入を受けたほか、他にも注目すべきサイバー事件があった。
現在、ソフトウェア脆弱性の悪用が増加している時期に、これを撤回すると代替措置が何も残らないと、現在はセキュリティ・アンド・テクノロジー研究所(Institute for Security and Technology)で政策担当上級副社長を務めるライザーソンは述べた。
金曜日の決定は、2022年メモの内容すべてを禁止するものではない。ヴォートは、各省庁は望むなら共通の自己証明フォームを使用できること、各省庁は「ソフトウェアおよびハードウェアの完全な在庫を維持し、自らのリスク判断と任務上のニーズに合致するソフトウェアおよびハードウェアの保証に関する方針とプロセスを策定しなければならない」こと、そして各省庁は、要請に応じてソフトウェア製造者がソフトウェアの構成要素一覧(ソフトウェア部品表:SBOM)を提供することを求める契約条項を採用できることを述べた。
ライザーソンは、2022年メモが負担だという考えに異議を唱え、共通フォームに要する事務作業は3時間20分だとする政府の見積もりを根拠に挙げた。またライザーソンは、これを撤回することは、トランプ政権が目標とする錯綜したサイバーセキュリティ規則の整理にも反すると述べた。すべての請負業者向けに共通のフォームが1つある代わりに、省庁ごとのフォームが増えれば、規制上の負担が増大するからだ。
トランプ政権は以前から、ジョー・バイデン大統領による各省庁向けの他のサイバーセキュリティ指示も後退させたい意向を示していた。
翻訳元: https://cyberscoop.com/omb-rescinds-burdensome-biden-era-secure-software-memo/
