バイデンのサイバーセキュリティに関する大統領令で「重要な」ソフトウェアを構成するものは何ですか?
バイデン大統領の指示で、米国国立標準技術研究所は最近、サプライチェーン内で一般的に見られる「重要な」ソフトウェアコンポーネントを構成するものの更新された定義を発行しました。しかし、あるサイバーセキュリティの専門家によると、この言葉は奇妙な省略を明らかにしています。
NISTは、米国の重要なサプライチェーンを確認および保護するために、政府の執行命令の最初の実装フェーズにサイバーセキュリティテクノロジーのどの側面を含めるべきかを提案する際に、組み込みソフトウェアおよびファームウェアコンポーネントを除外していると、プロバイダーであるFiniteStateのゼネラルカウンセルであるEricGreenwald氏は述べています。接続されたデバイスのセキュリティシステムの。
そのようなコンポーネントは、ITを保護するためにしばしば「重要」であることを認めます。それにもかかわらず、NISTは、システムが複雑すぎて、管理の取り組みの初期の実装フェーズに含めることができないことを示唆しています。
NISTは、Cybersecurity&Infrastructure Security Agency(CISA)、行政管理予算局、国家情報長官局、国家安全保障局など、他の多くの機関からの意見とその定義を調整したと述べています。国土安全保障省の一部であるCISAは、NISTの調査結果を利用して、レビューの第1フェーズの範囲に含まれる独自のソフトウェアカテゴリのリストを考案します。
組み込みソフトウェアとファームウェア(デバイスハードウェアの基本的な低レベルの制御)は複雑すぎてすぐに使用できないというNISTの主張は、「よくある質問」への回答に含まれています。しかし、Greenwaldは、短い声明に戸惑っていると言います。
「それが何を意味するのかわかりません」と彼は言い、NISTの定義は、ファイアウォールなどの真に重要な要素を「クラウドベースではなくデバイス上にあるという理由だけで」除外する効果がある可能性があると主張します。
Greenwaldは、NISTが、デバイスのチップセットに組み込まれているソフトウェアを最初は含めないことを好む可能性があることを認識しています。 「しかし、オペレーティングシステムやアプリケーション層ソフトウェアについて話しているとき、それをカテゴリとして除外することは私には意味がありません。ファームウェアではなく、デバイスソフトウェアをどのように区別できるかを理解するのは困難です。」
「複雑さ」は区別を正当化するものではない、と彼は言います。 「複雑になるほど、セキュリティ基準を引き上げることが重要になると私は主張します。」
NISTが組み込みソフトウェアとファームウェアに線を引く動機として考えられるのは、大統領命令の最初の実装段階で「噛むことができる以上に噛み砕かない」という願望であるとGreenwaldは認めています。重要なソフトウェアを構成するものの定義を行き過ぎてしまうことにより、政府機関は民間技術企業が連邦政府の調達に参加することを思いとどまらせるリスクを冒すことになります。それでも、そのクラスのソフトウェアを早期のアクションから除外する正当な理由ではないと彼は言います。
この区別は一部の人には学術的に思えるかもしれませんが、政府と民間部門の両方に主要なセキュリティシステムを提供することを信頼できるテクノロジープロバイダーの中心にあります。国防総省は最近、サイバーセキュリティ成熟度モデル認証を発行して、独自の調達基準を強化しました。 CMMCは、適格な請負業者がソフトウェアをDODに販売するためにサードパーティの認証を取得することを指示しています。
Greenwaldは、厳格なコンプライアンスイニシアチブで数十万の請負業者を即座に一掃する体制を確立する可能性を認識しています。 「誰がこれらの対象となるのかについての質問があります」と彼は言います。 「明晰さの欠如は悪魔です。」
しかし、サプライチェーンの混乱に関してバイデンの新たに任命されたタスクフォースによる即時の注意を必要とする重要な要素としての組み込みソフトウェアと企業のNISTの明らかな却下に関しては、明確さの欠如もGreenwaldの懸念事項です。彼は、政府機関がまもなくその意図を明確にすること、またはCISAが該当するソフトウェアの最終的なリストに係争中のカテゴリを含めることを選択することを望んでいます。
それでも、両方の機関が大統領命令のフェーズ1でこれらのコンポーネントを引き継ぐ場合、「フェーズ2に含まれると確信しています」とGreenwald氏は言います。それらを完全に省略すると、あらゆる種類のサイバー脅威からシステムを保護する取り組みが深刻に危険にさらされます。
産業技術
- ワールドクラスのメンテナンスと信頼性を構成するものは何ですか?
- 何がイノベーターになるのか?
- 保守作業指示書ソフトウェアの使用
- バイデンのバイアメリカン注文の準備をしていますか? ERPソフトウェアが役立ちます
- バイデンの大統領命令は、デジタルトランスフォーメーションの必要性を増幅します
- 適切なソフトウェアで卸売注文管理をマスターする方法
- ビジネスプロセス管理:それは何であり、なぜそれが重要なのか
- EAM と CMMS:違いは?
- CMMS ソフトウェアのコストは?
- CMMSソフトウェアが重要事項に焦点を当てたレーザーを取得する5つの方法
- PCB エンジニアが使用するソフトウェアやその他のツールは?