ホワイトハウスは、バイデン政権下で発出されたソフトウェア・セキュリティ指針について、「実効性が証明されておらず負担が大きい」要件により、実質的なセキュリティ投資よりも事務的なコンプライアンスを優先していたとして撤回したと発表した。
米行政管理予算局(OMB)はメモランダムM-26-05を発出し、前政権の2022年方針「セキュアなソフトウェア開発プラクティスを通じたソフトウェア・サプライチェーンのセキュリティ強化」(M-22-18)および、2023年に発表された後続の強化策(M-23-16)を正式に撤回した。
新たな指針では、各機関の長が、それぞれの任務上のニーズとリスク評価に基づき、ソフトウェアとハードウェアの双方について、個別に最適化したセキュリティ方針を策定する責任を負うことになる。
「各機関の長は、当該機関のネットワーク上で稼働を許可されるソフトウェアおよびハードウェアのセキュリティを確保する最終責任を負う」と、OMBが各省庁・機関に送付したメモには記されている。
「その結果を達成するための普遍的な、万人向けの方法は存在しない。各機関は、セキュア開発の原則を活用し、包括的なリスク評価に基づいて、提供者のセキュリティを検証すべきである」とOMBは付け加えた。
各機関は、厳格に義務付けられることはなくなったものの、M-22-18で示されたセキュアなソフトウェア開発のアテステーション(自己証明)フォーム、ソフトウェア部品表(SBOM)、およびその他のリソースを引き続き利用することは可能だ。
デイリー・ブリーフィング・ニュースレター
SecurityWeekのメール・ブリーフィングを購読して、最新の脅威、トレンド、テクノロジーに加え、業界専門家による洞察に富んだコラムも含めて把握しましょう。
参加者は、AIエージェントのアイデンティティをどのように構築し、一貫したセキュリティモデルの下で統合し、妥協することなくAI開発を迅速に進めるかについての指針を得られます。
SecurityWeekの「2026 ランサムウェア・サミット」では、根本原因の緩和から復旧の習熟まで、企業を防御するためのロードマップを議論し、今日のランサムウェアによる恐喝脅威を把握し無力化するために必要な重要な洞察をセキュリティチームに提供します。
翻訳元: https://www.securityweek.com/white-house-scraps-burdensome-software-security-rules/
