大統領令(EO 14028)とC-SCRM/SSDF/SBOMの関係についての整理

「国家のサイバーセキュリティ強化」に向けて2021年に出された大統領令(EO 14028)とC-SCRM/SSDF/SBOMの関係について改めて調べてみましたので、簡単ですがこちらに纏めます。

「連邦政府のサイバーセキュリティの強化」に関する大統領令（EO 14028）

　すでに様々な所で言及されていますが、2021年に米国は「クラウドベース、オンプレミス、ハイブリッドのいずれであっても、コンピューターシステムを保護しセキュリティを確保するために、データを処理するシステム (Information Technology: IT) と、安全を確保する重要な機械を実行するシステム (Operational Technology: OT)を含んだ形で連邦政府のサイバーセキュリティの近代化をはからねばならない」とし、サイバーセキュリティの強化に関する大統領令（EO 14028）を出しました。

　このEO 14028にはゼロトラストの話やクラウド、ユーザ認証の話などセキュリティに関する話がてんこ盛りになっているわけですが、その中のセクション４で「ソフトウェアサプライチェーンのセキュリティの強化」が挙げられています。

　このセクション4ではざっくりと言うと

• 商用ソフトウェアの開発では透明性・対攻撃性の能力と、改ざんを防ぐための適切な制御が欠如しています。
• 「クリティカル ソフトウェア」を実行するソフトウェアのセキュリティと完全性は特に懸念されます。
• 重要なソフトウェアへの対応を優先して、ソフトウェアサプライチェーンのセキュリティと完全性を迅速に向上させる必要があります。

という事が述べられており、

• この命令の日から 180 日以内にNISTはソフトウェア サプライ チェーンのセキュリティを強化するための予備ガイドラインを発行すること
• 上記に基づく予備ガイドラインの公表から 90 日以内に、商務長官はNISTが適切と判断した機関の長と協議の上、以下の項目を含むガイダンスを発行すること

という命令（大統領令）になっています。なお、「ソフトウェアサプライチェーンのセキュリティを強化するための予備ガイドライン」に含まれる項目は

• 安全なソフトウェア開発環境（適合を示す成果物を要求に応じて提供）
• 自動化ツールを採用して、信頼できるソースコードのサプライチェーンを維持しコードの整合性を確保
• 既知および潜在的な脆弱性をチェックして修復する自動ツール
• 各製品のソフトウェア部品表 (SBOM) を購入者に提供
• 報告および開示プロセスを含む脆弱性開示プログラムに参加

となっています。タイムラインは下記のようになっています。

「⼤統領令14028に基づく「EO-Critical ソフトウェア」使⽤のセキュリティ対策 （2021/07/09）」

　これを受け、NISTでは「NIST: Security Measures for “EO-Critical Software” 」にある様に、大統領命令で規定するクリティカルなソフトウェア（EO-Critical Software）を複数のObject別に分けて参考文献として

• NIST
  • Cybersecurity Framework: 
• CISA
  • Defending Against Software Supply Chain Attacks
• NIST, SP 800-53 Rev. 5, Security and Privacy Controls for Information Systems and Organizations

など多数のドキュメントを提示していました。

例えば「Objective 1: 目標 1: EO-Criticalなソフトウェアおよびソフトウェアプラットフォームを不正なアクセスや使用から保護する」では、参考文献に「NIST, Cybersecurity Framework: PR.AC-1, PR.AC-7」や「CISA, Bad Practices」等を挙げています。

これらはNIST: Security Measures for “EO-Critical Software” Use Under Executive Order (EO) 14028 July 9, 2021（PDF）としてダウンロードして見ることも出来ます。

NISTによる実施状況の概要報告書 （2022/07/11）

　さらに2022/07/11にNISTは実施状況の概要報告書として「 Improving the Nation’s Cybersecurity: NIST’s Responsibilities Under the May 2021 Executive Order」を出しました。この報告書の最終版（PDF）はSummary Reportとして読める形になっています。

　このレポートの中で

• Section 4c
  • 取り組みと成果：正式な NIST SP 800-161 Rev1: Cybersecurity Supply Chain Risk Management Practices for Systems and Organizationsの発⾏につながりました。
• Section 4e
  • 取り組みと成果：NIST SP 800-218: Secure Software Development Framework (SSDF) Version 1.1を発行しました。
• Section 4f
  • 取り組みと成果：The Minimum Elements For a Software Bill of Materials (SBOM)の発行に繋がりました。

となっています。これで大統領令（EO 14028）とC-SCRM/SSDF/SBOMの関係性（大統領令と、それぞれのSectionの成果物）という関係性がわかったと思います。

　C-SCRMやSSDFなどについては、SBOMと同様に今後こちらのサイト（https://security.sios.jp）に書いていく予定です。

参考リンク

• ホワイトハウス：Executive Order on Improving the Nation’s Cybersecurity
• NIST: Security Measures for “EO-Critical Software” Use Under Executive Order (EO) 14028 July 9, 2021（PDF）
• NIST: Improving the Nation’s Cybersecurity: NIST’s Responsibilities Under the May 2021 Executive Order
• NIST: Report to President – Improving the Nations Cybersecurity(PDF)
• NIST: SP 800-218: Secure Software Development Framework (SSDF) Version 1.1
• NTIA: The Minimum Elements For a Software Bill of Materials (SBOM)