狙われるソフトウェアサプライチェーン、安全性に関するガイダンス公開

米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は11月17日(米国時間)、「CISA, NSA, and ODNI Release Guidance for Customers on Securing the Software Supply Chain ｜CISA」において、カスタマー向けにソフトウェアサプライチェーンの安全性に関するガイダンスを公開したと伝えた。

このガイダンスは2022年8月にリリースされた開発者向けのガイダンス、2022年10月にリリースされたサプライヤー向けのガイダンスに続くもの。「Securing Software Supply Chain Series - Recommended Practices for Customers」というサブジェクトで、PDFファイルとして公開されている。PDFファイルのリンクは次のとおり。

Securing the Software Supply Chain: Recommended Practices Guide for Customers

開発者向けのガイダンスおよびサプライヤー向けのガイダンスのPDFファイルのリンクは次のとおり。

Securing the Software Supply Chain: Recommended Practices Guide for Developers
Securing the Software Supply Chain: Recommended Practices Guide for Suppliers

このガイダンスは、米国家安全保障局(NSA: National Security Agency)、米国国家情報情報長官室(ODNI: Office of the Director of National Intelligence)による共同刊行物。CISAとNSAが主導する官民共同のワーキンググループESF (Enduring Security Framework)によって作成されており、ソフトウェアカスタマーに焦点が当てられており、調達および導入段階においてソフトウェアの完全性とセキュリティを確保するための推奨プラクティスが紹介されている。

CISAは、ソフトウェアサプライヤーおよびネットワーク・オペレーター、またそれらの顧客に対して、ガイダンスを確認するとともに必要に応じて推奨事項を検討するよう推奨している。