Home セキュリティ 米国政府行政命令14028の遵守

米国政府行政命令14028の遵守

お客様およびパートナー各位

米国政府行政命令(EO)14028「国家サイバーセキュリティの向上」について、当社の遵守対策が完了しました。こうした対策は、製品のセキュリティと耐障害性を強化し、米国政府にサービスを提供するパートナーを支援する当社のコミットメントを表しています。

EO14028を遵守すべく、次の標準、手順および基準を含む重要な取り組みを実施してきました。

  1. Maintain a secure software development environment, including actions such as:
    • 独立したビルド環境の使用
    • 信頼関係の監査
    • 多要素、リスクベース認証、ソースリポジトリへの条件付きアクセスの使用
    • 重要データの暗号化
    • オペレーションおよび警告の監視、サイバーインシデントへの対応
    • 要請に応じて、上記プロセスへの適合を証明する成果物を米国政府機関に提供
  2. 自動化ツールを定期的に実行し、下記項目を確認:
    • ソースコードのサプライチェーンの信頼性を維持することにより、コードの完全性を確保
    • コードベースに含まれる既知の、または潜在的な脆弱性の把握と修正
    • 米国政府機関から要請があった場合、自動化ツールを実行した証拠を提供
  3. 社内およびサードパーティのソフトウェアコードとコンポーネントの正確かつ最新のデータと出所を保持し、定期的に監査。
  4. レポートと開示処理を含む脆弱性情報開示プログラムを導入。
  5. セキュアソフトウェア開発証明書により、セキュアソフトウェア開発プラクティスに準拠していることを証明。
  6. 当社製品の一部で使用されているオープンソースソフトウェアの完全性と出所を、可能な限り保証。
  7. 米国連邦政府向けに販売したFiery製品について、ソフトウェア部品表(SBOM)などのソフトウェア開発認証およびその他の成果物を生成し、米国サイバーセキュリティインフラセキュリティー庁(CISA)のソフトウェア開発認証および成果物リポジトリ(RSAA)にアップロードするための社内体制を確立。

よくある質問(FAQ)

EO14028とは?

EO 14028は、2021年に発令された米国大統領による行政命令です。本行政命令は米国政府機関や重要インフラに対するサイバー攻撃の増加に対応します。その目的は、官民一体となってサイバー攻撃の脅威からより首尾良く自衛することです。EO 14028の別の重要な側面は、ソフトウェアサプライチェーンのセキュリティを向上させる枠組みを確立することです。

EO 14028がFieryにとって重要な理由は?

Fieryパートナーは、米国政府向けの製品およびサービスを積極的に販売しており、すべてのFieryソフトウェアがこの行政命令に準拠する必要があります。

EO 14028の影響を受けるFiery製品は?

2022年9月14日以降に開発されたすべてのFieryソフトウェアアプリケーションです。

米国政府機関がEO 14028の準拠を施行する時期は?

2024年6月11日からです。
「政府機関は、『重要なソフトウェア』についてソフトウェアプロバイダーが公表していない開発証明書を、共通書式の承認後3ヶ月以内に取得する」必要があります。共通書式は2024年3月11日に承認済み

EO 14028による既存のソフトウェアバージョンのアップデートの取り扱い方法は?

メジャーバージョン変更(例:Major.Minor.Patchのセマンティックバージョン管理スキーマの使用、2022年9月14日以降にソフトウェアのバージョン番号が2.5から3.0に変更)によって修正された既存のソフトウェアが本行政命令の影響を受けます。Fieryソフトウェアは3桁のバージョン管理スキーマ(Major.Minor.Patch)に従い、段階的に適用されます(例:v1.0.2の場合、1はメジャーバージョン、0はマイナーバージョン、2はパッチやセキュリティーアップデートを示します)。EO 14028に準拠するために、Fieryソフトウェアはメジャーバージョンのみを考慮しています。ソフトウェアのマイナーアップデート(例:CWS 7.1.0)やパッチ(例:CWS 7.1.1)は、本政府命令の範囲外です。

EO 14028における「サービスとしてのソフトウェア」(Software-as-a-Service:SAS)製品の扱い方は?

継続的な変更が行なわれるコードのソフトウェア(例:SaaS製品、継続的デリバリー/継続的デプロイメントを使用するその他の製品)は本行政命令の影響を受けます。

セキュアソフトウェア開発証明書の他に、準拠を証明するために必要な要件は?

米国政府機関からの要請があれば、当社はセキュアソフトウェア開発プラクティス(SSDP)への準拠を証明し、製品のソフトウェア部品表(SBOM)などの対応する成果物を提供できます。

Fieryのセキュアソフトウェア開発証明書では、Fiery DFEに同梱されているサードパーティ製ソフトウェアも対象に入りますか?(例:Adobe SWやMicrosoft SWなど)

いいえ。これらのサードパーティ製ソフトウェアについては、開発元が証明書を提供する責任があります。

Fiery DFEに同梱されているオープンソースソフトウェアについてはどうですか?

Fiery DFEに同梱されているサードパーティのオープンソースソフトウェアは本規制の対象外です。

サイバーセキュリティへの取り組みについての詳細は、当社のWebサイトをご覧ください。https://www.fiery.com/security/