自己認証 ー ISVにとっての意味とは？

「すべてのソフトウェア製品が、設計上安全かつセキュアである技術環境に向けて前進することは、アメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁（CISA）、より広範な米国政府、そして世界におけるサイバーセキュリティコミュニティにとっての最優先事項である。」

これは、「Secure Software Development Practiceを通じて、ソフトウェアサプライチェーンにおける安全性を強化する」という大統領令を支持するCISAが発表した声明です。この声明に基づき、米国連邦政府にサービスを提供するソフトウェア開発者は、製造する基幹ソフトウェアが、特定のSecure Software Development Practiceに準拠して開発されていることを自己認証する必要があります。

自己認証要件について見る前に、まずはCISAのサイバーセキュリティ上の懸念事項について説明します。CISAによれば、ソフトウェアサプライチェーンに対する侵害の一般的な手法には、ソフトウェア設計上の欠陥の悪用、ソフトウェア製品への脆弱なサードパーティー製コンポーネントの組み込み、ソフトウェアの完成品提供前における悪意あるコードによるサプライヤーネットワークへの侵入、ユーザーによって展開される悪意あるソフトウェアのインストールなどがあります。加えて、以下のような脆弱性や侵害の可能性についても言及されています。

• 隠し機能、危険を伴う機能
• 評価から展開までの過程で、契約、機能、またはセキュリティの前提条件が不明または修正された場合
• サプライヤーの所有者および/または所在地の変更
• サプライヤーの企業または開発拠点の劣悪な衛生環境

特に、政府が最も懸念している点は、クリティカルソフトウェアのセキュリティと整合性です。クリティカルソフトウェアとは、信頼性の獲得に不可欠な機能（例：管理者特権またはネットワーキングやコンピューティングリソースへの直接アクセスの許可または要求）をもつソフトウェアです。具体的には、以下のようなソフトウェアがクリティカルソフトウェアとして定義されています。

• 管理者特権または管理された特権で実行するよう設計
• ネットワークまたはコンピューティングリソースに直接または特権的にアクセス可能
• データまたは運用テクノロジーへのアクセスを制御できるよう設計
• 信頼性に不可欠な機能を実行
• 特権アクセスにより、通常の信頼境界線の外側で操作

前述のリスクを軽減するため、CISAは、米国政府にサービスを提供するソフトウェア開発者が準拠すべき自己認証フォームを策定しました。

この自己認証フォームでは、ソフトウェア開発者が満たすべき最低限のセキュアソフトウェア開発要件が明示され、このフォームに従うことで、そのソフトウェアが指定されたSecure Software Development Practiceに準拠して開発されたことを証明することができます。

最低限守られるべき要件

1. ソフトウェアは、セキュアな環境で開発・構築されている
2. ソフトウェア開発者は、信頼できるソースコードサプライチェーンを維持するため、誠実な努力をしている
3. ソフトウェア開発者は、ソフトウェアに組み込まれた内部/外部コードのデータ来歴を保持している
4. ソフトウェア開発者は、セキュリティの脆弱性をチェックするための自動化ツールまたはそれと同等のプロセスを採用している

2023年の後半に、ソフトウェアの自己認証イニシアチブは、発効される予定です。

Wibu-Systemsでは、この政府のイニシアチブに該当するISV（独立系ソフトウェアベンダー）向けに、ソフトウェアセキュリティの専門家への相談を受け付けています。当社が提供するCodeMeterソフトウェアがもつライセンシングおよび保護テクノロジーは、リストアップされたセキュリティ要件のすべてに対応できているわけではありませんが、当社が提供するWibu Academyでは、当社のSecure Software Development Practiceが、ユーザー独自のセキュリティ対策と連動してどの分野で支援可能か紹介します。

また、ソフトウェアセキュリティに関して、ホワイトペーパー、ケーススタディ、ウェビナー、ユーザー事例などから、CodeMeterソリューションの詳細を確認することができます。

貴社の課題をCodeMeterで解決しませんか？
お気軽にお問合せください。製品説明および最適な使い方をご提案します。

お問合せ