米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、ソフトウェア調達のセキュリティ向上を目的とした新しい「ソフトウェア調達ガイド:サプライヤー応答ウェブツール」を公開しました。
この無料のインタラクティブプラットフォームは、ITリーダー、調達担当者、ソフトウェアベンダーが調達プロセス全体でサイバーセキュリティの実践を強化できるよう設計されています。
このツールは、CISAの政府エンタープライズ消費者向けソフトウェア調達ガイド:サイバーサプライチェーンリスク管理(C-SCRM)ライフサイクルにおけるソフトウェア保証に基づいています。ガイドをデジタル形式に移行することで、CISAはソフトウェア保証やサプライヤーリスクの評価をより身近なものにすることを目指しています。
「このツールは、より賢明で安全なソフトウェア調達のための実用的かつ無料のソリューションを提供するというCISAの取り組みを示すものです」と、CISA広報部長のマーシー・マッカーシー氏は述べています。
「ソフトウェア調達ガイドをインタラクティブな形式に変換することで、調達のあらゆる段階にサイバーセキュリティを統合することが容易になります。」
ツールの主な特徴
新しいウェブツールは、セキュア・バイ・デザインおよびセキュア・バイ・デフォルトの原則を以下の方法で取り入れています:
-
ガイドをユーザー入力に合わせて小さく適応的なセクションに分割
-
各調達状況に最も関連する質問を強調
-
CISO、CIO、その他の意思決定者向けにエクスポート可能な要約を生成
-
調達活動全体でより十分なデューデリジェンスを支援
ソフトウェアサプライチェーンセキュリティについてさらに読む:AIの幻覚が生む「Slopsquatting」サプライチェーンの脅威
このリリースは、プロプライエタリソフトウェアとオープンソースソフトウェアの両方における脆弱性への懸念が高まる中で発表されました。CISAは、多くの大規模なサイバー攻撃がソフトウェアサプライチェーンの弱点を悪用し、政府機関や民間組織の双方に影響を与えていると指摘しています。
ガイダンスへの高まる需要
元のソフトウェア調達ガイドおよびその補助スプレッドシートは、すでに1万人以上のユーザーを集め、4000回以上ダウンロードされています。連邦、州、地方自治体だけでなく、調達におけるより強固なセキュリティ実践を求める中小企業にも関心が広がっています。
特筆すべきは、このウェブツールが調達担当者にサイバーセキュリティの専門知識を求めていない点です。その代わりに、サプライチェーンや開発、導入、脆弱性管理に至るまで、ソフトウェアライフサイクル全体でサプライヤーのセキュリティ実践を評価できるようにします。
この新リソースは、CISAが国家のソフトウェアサプライチェーンの強靭性を高めるために継続している取り組みの一環です。Secure by Demand Guideとともに、組織がベンダーの開発プロセスにセキュリティが組み込まれているかどうかをよりよく理解できるよう支援します。
調達フレームワークをデジタル化し、簡素化することで、CISAはあらゆる規模の組織がよりリスクを意識し、強靭な調達戦略を採用できるよう支援することを目指しています。
翻訳元: https://www.infosecurity-magazine.com/news/cisa-software-procurement-security/