米国大統領令とEUのCRAが示すソフトウェアサプライチェーンセキュリティとは：ソフトウェアサプライチェーンの守り方（1）（1/2 ページ）

[松岡 正人，MONOist]

　米国と欧州を中心に法整備が進みつつある「ソフトウェアサプライチェーン」のセキュリティについて解説する本連載。第1回は、米欧が唱えるソフトウェアサプライチェーンセキュリティの全体像と目的と併せて、製造業などでも増大しつつあるセキュリティインシデントを減らすための基本的な考え方を紹介する。

米国大統領令と言えば……

　今回は、米国大統領令「14028」とEUの「Cyber Resilience Act」などを取り上げるのだが、米欧を中心とした世界がサイバー世界の脅威に対して新しい対処方法を身に付けようとしていることについて考えてみたいと思う。

　米国大統領令は正式には、大統領による連邦政府組織に対する指令であり、英語表記ではExecutive Order、EOという略語で用いられることもある。EOというと、1996年に出版されたトム・クランシー（Tom Clancy）氏のベストセラー小説「Executive Orders」が思い出される。おそらく彼の作品で有名なのは「レッドオクトーバーを追え」や「今そこにある危機」などの映画の方だと思うが、いずれもジャック・ライアンシリーズに含まれる作品である。「Executive Orders」で主人公のジャック・ライアンは米国大統領として国内外の敵（脅威）と戦うのだが、邦題が「合衆国崩壊」なのである。何をどうしたら「大統領令（EO）」が「合衆国崩壊」につながるのか、興味のある方は読んでみていただきたい。なおこれは後編で、前編は「Debt of Honor」というタイトルで邦題は「日米開戦」となっていて、どうしてそうなった感満載である。

　ちなみにEOは、大統領が統治する上での強力な武器となる上に連発できるのだが、このような仕組みは日本にはないため日本人的には分かりにくいともいえるかもしれない。そこで、EOの解説は米国国務省のWebサイトをご覧いただくことにしよう。ということで、本題に入ろうと思う。

「EO14028」と「Cyber Resilience Act」の概要

　本記事をお読みの方は、EO14028（Improving the Nation's Cybersecurity）という大統領令があることはご存じだと思うが、あらためて要点を振り返ってみたい。

　この大統領令は8つのセクションによって構成されているが、サイバーセキュリティに関する従来の指針はオバマ政権の2つの大統領令「The first, a Commission on Enhancing National Cybersecurity」と「a Federal Privacy Council」、トランプ政権時代の「STRENGTHENING THE CYBERSECURITY OF FEDERAL NETWORKS AND CRITICAL INFRASTRUCTURE 」がベースとなり、そこに「サプライチェーン」という視点が導入されたことが大きな違いと言っていいと思う。

EO14028（Improving the Nation's Cybersecurity）の大統領令［クリックで拡大］ 出所：米国大統領府

　さらにさかのぼると、クリントン政権がPDD-63“Critical Infrastructure Protection”を発令している。ここでは、いわゆる9.11後の米国の重要インフラ（物理およびサイバー）の保護と、そのための官民パートナーシップの創設を宣言しているが、このパートナーシップの枠組みは“Enduring Security Framework (ESF)”に引き継がれており、今回のEO14028に沿って幾つもの文書を発行している。そして、5G（通信インフラ）の保護についての連作の後、2022年9月1日に“Securing the Software Supply Chain for Developers”を、同年10月31日に“Securing the Software Supply Chain: Recommended Practices Guide for Suppliers”を発行しており、「ソフトウェアサプライチェーン」に関するNIST SP800-218などのガイダンスを参照しながら、サプライチェーンにおける役割ごとにどのように対処すべきかを整理したものとなっている。

　また、EUでは「Cyber Resilience Act」の法案（proposal）が2022年9月15日に公開された。

EUの「Cyber Resilience Act」［クリックで拡大］ 出所：欧州委員会

　米国のEO14028が連邦政府調達に限定されているため、多くの日本の企業のみなさんにとっては遠い世界の話に聞こえるかもしれないが、こちらはEU域内で流通するソフトウェアを使用したあらゆる製品やサービスが規制の対象となる点で大きな違いがある。何か既視感がある方も少なくないと思うが、2016年4月に施行された「EU一般データ保護規則」（GDPR：General Data Protection Regulation）が個人情報保護を目的とした罰則規定のある規制として制定されたように、EU域内で「Products with Digital Elements」（機器またはネットワークへの直接的または間接的で、論理的または物理的なデータ接続を含む、意図的または合理的に予見可能な使用を含むデジタル要素を備えた製品に適用）に対する罰則付きの規制として提案されている。2023年に法制化される見通しで、EU加盟国は発効後24カ月の間に国ごとに適用していくことになる。