NIST、大統領令に基づき、「重要ソフトウェア」を定義

バイデン大統領が5月に発表したサイバーセキュリティに関する大統領令を受け、政府システム及び公共インフラに使用されるコードの内容について管理を強化するための主要な取り組みが開始された。最初の成果物の一つとして、米国標準技術局(National Institute of Standards and Technology:NIST)は6月25日、「重要ソフトウェア(critical software)」を網羅する定義を発表した。重要ソフトウェアは、ソフトウェア・サプライチェーンを規制するための土台となるものである。重要ソフトウェアの新たな定義は、コンピュータ・ツールの背後にある数多くの要素を網羅しており、これには、エンドポイント保護、データ・バックアップ、アイデンティティと認証の管理などが含まれる。重要ソフトウェアを定義した後、NISTは、ベンダーがソフトウェアコードのセキュリティと完全性を維持するためのベスト・プラクティスのガイダンス発表へ取り組む。こうしたプロセスの後、ベンダーは、新たなサプライチェーンのセキュリティ規則に従うこと、その遵守を示す何らかの文書を提出することが義務付けられる。

FCW “NIST defines ‘critical software’ under the cyber EO” (6/25/21)