著者:プリンシパル・テクノロジスト、Barbara Cosgriff
ウインドリバーのセキュリティアセスメントサービスを活用し、より多くの政府プロジェクトを獲得しませんか?
政府プロジェクトを獲得するためには、実際のコンプライアンス要件に対応するのはもちろんのこと、略語を把握するだけでも大変です。
米国政府機関に重要なソフトウェアを提供しようとする企業は、アメリカ合衆国行政管理予算局(OMB)Memorandum M-に基づき、2022年半ばからサイバーセキュリティー・インフラセキュリティー庁(CISA)のSelf-22-18を提出する必要があります。
M-22-18では、ベンダーがNISTのセキュアソフトウェア開発フレームワーク(SSDF)のタスクを完了していることを証明する必要があり、そのためにはサプライヤーのソフトウェア開発ライフサイクル(SDLC)とSSDFタスクの整合性が求められます。
SSDFタスクの達成は、難しく考える必要はありません。
多くの企業がウインドリバーのセキュリティサービスや製品を活用することで、コンプライアンス管理の簡素化だけでなく、DevSecOpsプロセスの合理化、投資配分の最適化、政府要件を満たすためのコストと期間の短縮を実現しています。
あるお客様が、SSDFギャップ分析サービスとWind River Studio Developerによって、企業がプロセスを合理化し、より多くの政府プロジェクトを獲得できた例をご紹介します。
防衛、国土安全保障、航空などの先進的な電子機器メーカーは、SSDFのタスクを達成するために、SDLCを最適化する必要がありました。資本支出を最小限に抑え、サイバーセキュリティ担当者に過剰な負担をかけることなく、SDLCとSSDFのタスクの間のギャップの特定、優先順位を付け、修復をしなければならない状況でした。
ウインドリバーは、SDLCを厳密かつ専門的な評価を実施し、認証に影響を与えるSSDF関連タスクのギャップを特定し、それらのギャップを修復するための詳細な提案をしました。
主なサービスには、以下のようなDevSecOpsに必要なタスクや事項が含まれました。
・infrastructure-as-code とconfiguration-as-codeの自動化を活用した汎用的なベースパイプラインを構築し、セントラルチームが自動化されたパイプラインの生成を実現
・すべてのパイプラインにおいて自動セキュリティゲート機能を提供
・すべてのパイプラインにおいてアプリケーションセキュリティテストツールを利用できるようにし、使用を義務付ける
・ソフトウェアコンフィギュレーション管理にセキュリティ要件を組み込む
そのお客様は、SDLCに必要な変更に優先順位を付け、それらの変更に関連するリソースのニーズとコストを定量化し、構造化されたコスト効率の高い方法で導入することができました。
VxWorks®とWind River Linux の長年のユーザーである同社は、ウインドリバーと成功を収めてきた歴史があり、ウインドリバーの専門知識と認証実績に深い信頼を寄せていました。 Wind River Studio の機能が、タスクやアクティビティの実装要件に非常によく適合していたことも同様に重要な要素でした。
また、セキュリティアセスメントサービスを利用することで、以下のデータに基づく客観的洞察を得ることができました。
• DevSecOpsチームの技量がNISTのSSDFプラクティスにどの程度適合しているか
• 生産性を最大化するためにリソース配置やその他の投資判断をどのように最適化するか
• SDLCとSSDFタスクのギャップを最小限のコストと許容期間内に修正する方法
最も重要なのは、ビジネスの観点から、NIST SSDF準拠を必要とする新たなビジネスチャンスを追求することができるようになったことです。
その会社の上級管理職は「サービス増加分のコストは、DevSecOpsプロセスとビジネスへの影響と比較してわずかだった」とコメントしています。
ケーススタディの全文はこちらからご確認ください。