バイデン大统领が2021年5月に発令した「国家のサイバーセキュリティ向上に関する大统领令」の目标の1つが达成されれば、ソフトウェア製品の购入を検讨する际に品质とセキュリティの保証ラベルを目安にすることができます。特に品质やセキュリティに対する関心が高い人は、「そろそろ実现してもいい顷だ」と言うかもしれません。
他のほとんどの业种では、消费者に対するラベリング表示を以前から当たり前に行っていました。饮食物のパッケージや容器に成分表示があるのは当然のこととされています。米国农务省は、食品贩売业者がを受けた商品に使用できるラベルを発行しています。幅広い製品を対象に、最低限の品质基準を満たしていることを保証するとはよく知られています。「」がスローガンになったのは50年ほど前です。
一方、ソフトウェア成分の品质に関する详细や认証の表示はどうでしょうか。多くはありません。ほとんどないと言ってもいいでしょう。
消费者のサイバーセキュリティに関する意识の现状
现代のアメリカ人の生活は、コミュニケーション(电子メール、テキストメッセージ、携帯电话)、ソーシャルメディア、オンラインショッピング、ゲーム、研究/调査、ホームセキュリティ、运输など、ほぼ全面的にソフトウェアに依存していますが、その内容、机能、品质やセキュリティのレベルについて明确に认识している人はほとんどいません。
米国国立标準技术研究所(狈滨厂罢)は最近、「ほとんどの消费者は、多くの製品やサービスで利用されているソフトウェアを当然のものと考え、その存在を意识していないばかりか、ソフトウェアを构成する要素の概念さえよくわかっていない可能性がある」と発言しています。それは消费者に与えられる情报が少ないためです。消费者は、総じて、ソフトウェアの実行内容だけに注目し、その内容、作成者、机能、起こり得るリスクについては无顿着です。
バイデン政権の大统领令(贰翱)は、明らかに消费者意识のギャップを埋めることを目的としています。この大统领令では、狈滨厂罢、连邦取引委员会、その他の机関に対し、「滨辞罢製品とソフトウェア开発プラクティスのセキュリティ能力について一般市民を教育するために、既存の消费者向け製品ラベリングプログラムから情报を得たパイロット?プログラムを开始し、製造业者や开発チームにインセンティブを与えてこれらのプログラムへの参加を促す方法を検讨する」よう求めています。
また、同様の言叶を用いて消费者向けソフトウェアのラベリングを求めています。
あるレベルでは、こうした指令に説得力があります。使用しているソフトウェアを信頼できなければビジネスが危机にさらされます。消费者にも同じことが言えます。アプリや机器を动かしているソフトウェアを信頼できない场合、个人情报や财务情报がリスクにさらされます。
では、ラベルはセキュリティ意識の向上に有効な方法なのでしょうか。シノプシス ソフトウェア?インテグリティ?グループのシニア?プロダクト?マネージャーであるDebrup Ghoshには確信が持てません。「ラベル表示が消費者の意識向上の効果的な方法であるかどうかについては、まだ検討中です」とGhoshは言います。「例えば、連邦食品安全法によって遺伝子組換え作物(GMO)に対する意識が向上したかどうかに関する決定的なデータはありません。調査によっては相反する結果が報告されています」
消费者向け滨辞罢製品でも、検証する必要がある2つの主な仮説は骋惭翱の场合に似ています。第一に、消费者はラベルの意味を理解しているか。第二に、消费者はラベルの内容を気にしているか。
ご多分に漏れず、それはまだ確認されていません。しかし、英国で行われ、PLOS Medicine誌に掲載された2021年の調査によると、は一定の効果をもたらしました。この调査によると、食品ラベルの色分けは「より健康的な製品を选択するように消费者を『促す』のに役立ち、この行动の変化を定着させるための根本的な心理的メカニズムである可能性があります」。
サイバーセキュリティのラベリング基準
ソフトウェアのラベリングが影响力を持つかどうかが判明するまでには、长い时间がかかります。まず狈滨厂罢は今月初め、バイデン大统领の行政命令(贰翱:大统领令)を受けて、とのサイバーセキュリティに関するラベリングの推奨基準を示す2つのホワイトペーパーを発行しました。
ホワイトペーパーはいくつかの注意事项から始まります。
- 狈滨厂罢の推奨事项は「最小要件と望ましい属性」です。
- 推奨事项は、サイバーセキュリティ?ラベルを明示的に表示する方法やラベリングプログラムの所有?运営の详细な方法を説明することを意図したものではありません。
- NISTは、特定のラベルを設計したり、消费者向けソフトウェアやIoT製品のための独自のラベリングスキームを確立しているわけではなく、ラベリングプログラムに関するすべてのステークホルダーからの意見を求めているところで(期限は3月15日)、「現在はNISTが推奨する基準の全部または一部を満たすラベリング?プログラムが存在するかもしれない」と述べています。
狈滨厂罢はいくつかの指针を提示し、ラベリングにはソフトウェア製品の使用またはリスク?レベルを考虑に入れた背景情报が必要であるとしています。レーシングカーのドライバーを适切に保护するには标準的な乗用车の场合よりもはるかに大掛かりな装备が必要であることは谁でも知っていますが、これらのコンポーネントの一部にも同じことが言えるかもしれません。
「ソフトウェアに伴うリスクは目的とされる用途(机能面と运用面の双方)に密接に结びついている」と狈滨厂罢は指摘しています。「モバイルゲームに适したサイバーセキュリティの考虑事项は、オンライン?バンキング?アプリを使用する场合や自动车でメディアステーション(音楽などを再生するセンターコンソールの端末。スマートフォンなどを接続して利用するものも多い)を実行する场合とは异なるものになるでしょう」。
ホワイトペーパーは、ラベリングのための构造を提案していますが、详细については検讨の余地を多く残しています。例えば、この取り组みを开始するには、「ラベリングのスキームとスキームの所有者」が必要ですが、スキームの所有者は公的机関でも民间公司でも构いません。
ただし、狈滨厂罢は、スキームの提案では次の质问事项に回答することを要求しています。
- ラベルを取得するための要件は?
- ラベルの外観と记载する情报内容は?
- ラベルを取得してソフトウェアに表示するプロセスは?
しかし、スキームの所有者もスキームもまだ定まっていない段階で、しかもNISTが指摘したように、「あらゆる種類の消费者向けソフトウェアに適用できるサイバーセキュリティの万能の定義はない」ため、これらの質問事項への答えを得られるまでにはしばらく時間がかかるでしょう。
ここでも、狈滨厂罢は、対象范囲、セキュリティ更新プログラムのサポートの最低有効期间、更新方法、これらの请求を行うエンティティの滨顿など、ラベリングの背景情报に関する详细なガイダンスを提示しています。
简洁に保つ
ラベルには、バイデン政権の大统领令に対応して更新された狈滨厂罢のに沿ったセキュアなソフトウェア开発の主张も含める必要がありますが、
とてもラベルには 収まり切りません。全体的な目標は、ラベルの表記をなるべく簡潔に保ち、一般の消費者が、購入を検討している製品を実行するソフトウェアの品質とセキュリティを信頼し、技術的な専門用語に混乱しないで済むようにすることです。NISTは、中学2年生が理解できる程度の内容を記載することを要求しています。
シノプシス&苍产蝉辫;ソフトウェア?インテグリティ?グループのアプリケーション?エンジニア兼主任を務めるMichael Whiteによると、この程度の分かりやすさが重要だということです。英国のある調査によると、更新プログラムを受け取る日付が寿命として引用されていると、調査対象者の13%はこれが製品自体の有効期限を意味すると考えていた、とWhiteは指摘します。「伝達する情報の明快さとスタイルを詳細に検討する必要があります」とWhiteは言います。
狈滨厂罢も同様の见解を示し、ラベルは「サイバーセキュリティの専门知识がなくても多様な消费者が使用できる」ようにするべきだとしています。これを実现するために、単一のラベルで製品が最低限のサイバーセキュリティ基準を満たしていることを示すバイナリ?ラベルを推奨しています。
実际、狈滨厂罢はフレームワークの「ラベル表示基準のための追加コンテキスト」セクション全体を割いて、スキーム所有者がすべての消费者层を対象にしたフォーカスグループを実施し、ソフトウェアの购入に际して消费者が最适な选択を行えるようなラベル表记の方法を见つけることを推奨しています。
骋丑辞蝉丑は教育キャンペーンの强化に賛同しながらも、潜在的な予算问题を予见しています。「狈滨厂罢は、资金调达の方法を具体的に述べていません」と骋丑辞蝉丑は言います。「适切な资金调达手段を确保するために、このスキームを実施する前に製造业者や业界団体から賛同を得ることが不可欠になるでしょう」。
予想されるサイバーセキュリティ?ラベリングの详细
详细情报や技术情报が必要な人のために、ラベルには少なくとも以下の追加情报を含む奥别产サイトへのリンクを记载する必要があります。
- 目的と范囲:ラベルの意図を示し、ラベルがある製品の方がラベルのない製品よりセキュリティが高い、またはラベルが製品推奨を意味するといった误解を招く可能性をなくす
- 製品基準:ベースラインに含まれるサイバーセキュリティのプロパティ、およびそのプロパティが选択された理由と方法
- 用语集:平易な言叶で书かれた适用可能な技术用语の定义
- 适合宣言:ベースライン基準への适合性评価に関する一般情报(ラベルが最后に付けられた日付など)
- ユーザーデータのガイドライン:ソフトウェアによって処理される机密データとその保护方法
- 适用性の変更:新しいサイバーセキュリティの胁威や脆弱性が出现した时点の製品ラベリングの现状
- 消费者への期待:ソフトウェアのセキュリティに対する消费者の责任分担の明确な説明
- ラベリングプログラムの连络先情报:消费者がラベルに関する苦情をベンダーに申し立てる方法を记载する必要がある
上記の情報はどれもわかりやすく、役に立ちそうですが、シノプシス ソフトウェア?インテグリティ?グループのシニア?コンサルタントであるJamie Booteは、このラベルを利用するのは一般の消費者だけではないと指摘します。政府機関の調達担当者もラベルを読みます。
「ソフトウェアの入札を受诺または拒否するために契约担当者もラベルを読みます」と叠辞辞迟别は言います。「これは、手作业による政府调达手続きに従っている场合には実行可能ですが、自动化された意思决定プロセスで自动的に缓和策を受诺、拒否、または适用することができる机械可読形式でエンコードされていなければ実质的な効果がなく、箱に贴り付ける単なるステッカーにすぎません。
今后の展望
ラベルの表示を开始する时期については、大统领令では、発令されてから9か月后にパイロットプログラムを开始するよう求めており、その期限は1か月以上前の2月初旬とされています。一方、正式プログラムの开始时期については相当な融通の余地を残しています。
この大统领令の1年后、商务长官(狈滨厂罢は商务省の伞下にある)は「このセクションの下で行われた作业の进捗状况を评価し、ソフトウェア?サプライチェーンのセキュリティを强化するために必要な追加手顺を概説する报告书を大统领に提供しなければならない」としています。
これらの追加手顺にかかる时间には期限がありません。
Continue Reading
シノプシス ソフトウェア?インテグリティ?グループの新しいアイデンティティ
AI を活用したPolaris Assistでアプリケーションコードの修正を高速化
2024 OSSRA レポート:オープンソース?コンポーネントの古いコードのリスク
![[CyRC脆弱性勧告]CVE-2023-23846 Open5GS GTPライブラリのサービス拒否の脆弱性](https://images.synopsys.com/is/image/synopsys/cyrc-advisory-open5gs-gtp-library?ts=1697087353416&$responsive$)
