一般社団法人ソフトウェア協会(SAJ)は、米国立標準技術研究所(NIST)が策定した「NIST Special Publication 800-218：Secure Software Development Framework (SSDF) Version 1.1」の日本語版を公開した。

SSDFは、安全なソフトウェア開発を実現するための基本的かつ堅牢な「プラクティス(実践項目)」を体系的に記述したフレームワークだ。対象は開発プロセス全体にわたっており、想定しているステークホルダーも、ソフトウェア開発者から、ソフトウェア採用者(購入者)、プロダクトマネージャー、セキュリティ担当者、経営層などまでにわたる。

例えば、ソフトウェア採用者は、ソフトウェアの調達プロセスにおいて、サプライヤーとの間でセキュリティ要件を明確化し、コミュニケーションを円滑にするための共通言語として活用できる。

また、経営層に対しては、組織全体のセキュリティに対する意識を高め、リスク管理を強化するための戦略的な指針を提供するものとして活用できる。

SSDFは、セキュアなソフトウェアの開発・供給を推進するために、米国政府をはじめとする各国で活用されているフレームワークだ。特に2022年以降は、日米豪印の4か国(QUAD)においてサイバーセキュリティ分野での協力強化が合意され、ソフトウェア供給網の安全性確保が重要な政策課題となっており、SSDFの重要性も高まっている。

翻訳は、サイボウズ、マイクロソフト、アシュアード、サイバートラスト、GOFU、トレンドマイクロに所属するメンバーが担当。レビューワーとしてJPCERTコーディネーションセンターのメンバーも関わっている。また、この翻訳は、NISTの正式な許可を得て作成されたもので、今後「NISTリソースサイトでの公式翻訳化」も視野に入れた準拠翻訳に位置づけられている。

【参考】：一般社団法人ソフトウェア協会