NIST、「連邦機関はソフトウェア業者の判断を信頼」との見解を提示

先般、政府契約事業者のIT管理会社、ソーラーウィンズ社(SolarWinds)がハッキングの被害を受けたことへの対応として発布された大統領令14028号(Executive Order 14028)への応答として、米国標準技術局(National Institute of Standards and Technology:NIST)は2月4日、5つのガイダンスを発表した。その一つにおいて、「費用と知的財産保護の懸念への対処において、連邦政府の調達担当官は、ソフトウェア業者による製品の自己保証申告を受け入れるべきである」としている。NISTはガイダンスの中で、「リスクベースの手法で第二、第三機関による証明が必要と判断されない限り、『セキュアなソフトウェア設計枠組み(Secure Software Design Framework)』に適合しているという第一機関による自己保証を受諾すること」としている。ここでいう第一機関とはソフトウェア業者、第二機関はソフトウェアを購入する連邦機関のスタッフ、第三機関は独立した検証者を指し、国防総省(Department of Defense)のサイバーセキュリティ成熟モデル認証(Cybersecurity Maturity Model Certification)の対象となる。

Nextgov “NIST Suggests Agencies Accept the Word of Software Producers Per Executive Order” (2/6/22)