バイデン米政権、政府機関が調達するソフトウエアにセキュリティー対策を義務化

米国行政管理予算局（OMB）は9月14日、連邦政府機関が調達するソフトウエアに関してセキュリティー要件を定めるガイダンスを発表した。ガイダンスは、ジョー・バイデン大統領が2021年5月に署名したサイバーセキュリティー強化のための大統領令に基づいて策定された（2021年5月14日記事参照）。

OMBのガイダンスは、連邦政府機関が情報システムで第三者が開発したソフトウエアを使用する際、国立標準技術研究所（NIST）の「安全なソフトウエア開発フレームワーク（SSDF）」と「ソフトウエアサプライチェーン・セキュリティーガイダンス」（以下、併せて「NISTガイダンス」）を順守するよう求める内容となっている。具体的には、各政府機関に対し、ソフトウエアを使用する前に、ソフトウエアの製造者からNISTガイダンスに沿う安全な開発慣行の実施を示す自己証明書を入手するよう義務付ける。また、各政府機関は、調達するソフトウエアを公募するにあたり、応募要件としてソフトウエアの構成要素（注1）に関する詳細の提出を求めることもできる。

対象となるソフトウエアには、クラウドを通じて提供されるアプリケーションサービスやソフトウエアを組み込んだ製品などが含まれる。OMBのガイダンスの発表日以降に開発されたソフトウエアに加え、既存のソフトウエアについても更新時に適用される。

各政府機関はOMBのガイダンスの発表日から90日以内に、対象となるソフトウエアの目録を作成する必要がある。OMBが2021年8月に発表した覚書で示されている「重要ソフトウエア」（注2）については、別途目録を作成し、重要ソフトウエアのプロバイダーから270日以内に自己証明書を入手しなければならない。そのほかのソフトウエアについても365日以内に自己証明書を入手する必要がある。

（注1）SBOM（Software Bill of Materials）を指し、ソフトウエアの構築に使用されるオープンソースや部品を列挙したもの。ソフトウエアの脆弱（ぜいじゃく）性への対応に活用される。

（注2）NISTの定義に基づき、ネットワークまたはコンピュータリソースに直接または特権的なアクセスを有するソフトウエアなどを指す。

（甲斐野裕之）