« 米国 ピュー研究所 過半数の米国民はAIに懸念を感じている?そして、ChatGPTを使ったことがある米国民は1/4? | Main | NATO CCDCoE 国家CERT/CSIRT - 権限と組織に関する文書 »

2023.08.30

日本ネットワークセキュリティ協会 (JNSA) 「日本におけるソフトウェアサプライチェーンとSBOMのこれから」「ゼロトラストと標準化」

こんにちは、丸山満彦です。

JNSAが、「日本におけるソフトウェアサプライチェーンとSBOMのこれから」「ゼロトラストと標準化」という2つのセミナーの資料を公開してくれていますね。。。

参考になる部分も多いと思います!

 

SBOMもゼロトラストもキーポイントは自動化です。数多くの攻撃から組織を守るためには、自動化が欠かせないということで、手動管理ではなく、自動化です。

 

 

1_20230830060301

 

日本ネットワークセキュリティ協会 (JNSA)

 

SBOM関係調査研究部会 IoTセキュリティワーキンググループ (2023.08.25開催)

2023.8.28 日本におけるソフトウェアサプライチェーンとSBOMのこれから

ざっとこんな感じ...


 

・・経済産業省 商務情報政策局 サイバーセキュリティ課 課長補佐
  飯塚 智氏

・[PDF] SBOMに関する国内外の最新動向および日本の取組について

20230830-60711

  • SBOMに関する国内外の最新動向、経済産業省におけるOSSを含むソフトウェアのセキュリティ確保に向けた取組等

 

・・一般社団法人 Japan Automotive ISAC 技術委員会 委員長 
  マツダ(株)MDI&IT本部 主査(グローバルセキュリティ担当)
  山﨑 雅史氏

・[PDF] クルマのソフトウェア化に伴う、セキュリティ要件と求められる対応

20230830-60724

  • クルマのソフトウェア化に伴う「規制・標準」の各国動向
  • 継続的サイバーセキュリティ活動の重要性とその中でのSBOMの活用に向けて業界としての課題と今後

 

・・一般般社団法人 電子情報技術産業協会 ヘルスケアインダストリ部会 医療用ソフトウェア専門委員会 委員長
  日本光電工業(株) 技術戦略本部 
  松元 恒一郎氏

・[PDF] 医療機器におけるサイバーセキュリティ対策とSBOMの活用

20230830-60752

  • 医療機器規制の国際調和を目指すIMDRFから「医療機器サイバーセキュリティの原則と実践」に関するガイダンスが2020年発行され、日本でも薬機法による規制にこのガイダンスを取り入れ、2023年3月付けで通知されました。この中でSBOMについても言及され、機器に実装される商用、オープンソース及び市販のソフトウェア部品のサイバーセキュリティに関する情報及びサポートの重要性も示されています。

 

・・Software ISAC OSS委員会 副委員長 
  鈴木 康弘氏(株式会社アシュアード)

・[PDF] SBOMの継続的な運用フローとリスク管理手法

20230830-60808

  • 継続的可能な運用フローの構築や、SBOMを活用したリスク管理手法を解説


 

ゼロトラスト関係 - 標準化部会(2023.08.23開催)

・2023.08.25 ゼロトラストと標準化

 


・・デジタル庁 戦略・組織グループ セキュリティ危機管理チーム セキュリティアーキテクト
  満塩 尚史氏 

・[PDF] デジタル庁におけるゼロトラストアーキテクチャへの取り組み

20230830-60833

  • ガイドラインや技術レポートを紹介
  • デジタル庁におけるゼロトラストアーキテクチャを推進する取組(ゼロトラストアーキテクチャ適用方針、常時リスク診断・対処、属性ベースアクセス制御等の)について紹介

 

・・JNSA 標準化部会 副部会長 
  松本 泰(セコム株式会社)

・[PDF] ゼロトラストと標準化部会の活動の関係について

20230830-60841

  • JNSAの標準化部会の4つのワーキンググループの活動の概観を説明

 

・・日本ISMSユーザグループ リーダー:
  魚脇 雅晴(エヌ・ティ・ティ・コミュニケーションズ株式会社)

・[PDF] ゼロトラストとISMS

20230830-60900

  • 本講演ではゼロトラストの歴史
  • ISMS(マネジメントシステム)との関係(技術とマネジメントシステムという両輪)について解説

 

・・デジタルアイデンティティワーキンググループ リーダー:
  宮川 晃一(日本電気株式会社)

・[PDF] ゼロトラスト環境実現に必要なIGA(アイデンティティガバナンス管理)とPBAC(ポリシーベースアクセス制御)について

20230830-60919

  • アイデンティティ情報を高度に管理するためのIGA(アイデンティティガバナンス管理)
  • 動的に適切なアクセス制御を実現するための方法(PBAC(ポリシーベースアクセス制御))を紹介

 

・・電子署名ワーキンググループ リーダー:
  宮崎 一哉(三菱電機株式会社)

・[PDF] ゼロトラストにとってのデジタル署名 vs. 電子署名にとってのデジタル署名

20230830-60925

  • 「トラスト」の相違とそこに起因するPKIやデジタル署名といった要素技術への要求の違いを紹介

 

・・PKI相互運用技術ワーキンググループ リーダー:
  松本 泰(セコム株式会社)

・[PDF] Always Verifyの実装となるリモートアテステーション

20230830-60932

  • ratsを中心に、進化するゼロトラストアーキテクチャの今後について説明

 

 

 

まるちゃんの情報セキュリティ気まぐれ日記

SBOM関係...

・2023.08.15 ドイツ SBOMの要件...技術ガイドライン TR-03183:製造業者および製品に対するサイバーレジリエンス要件 (2023.08.04)

・2023.08.13 総務省 「ICTサイバーセキュリティ総合対策2023」(案)に対する意見募集の結果及び「ICTサイバーセキュリティ総合対策2023」の公表

・2023.08.01 経済産業省 ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引

・2023.07.15 米国 ホワイトハウス サイバーセキュリティ戦略実施計画

・2023.07.07 総務省 「ICTサイバーセキュリティ総合対策2023」(案)に対する意見募集

・2023.07.03 OWASP SBOMガイダンス CycloneDX v1.5 (2023.06.23)

・2023.04.25 米国 CISA SBOM関連の二文書

・2023.04.18 国際医療機器規制当局フォーラム 「レガシー医療機器のサイバーセキュリティのための原則と慣行」「医療機器サイバーセキュリティのためのSBOMの原則と実践」 (2023.04.11, 04.13)

・2023.03.04 米国 国家サイバーセキュリティ戦略を発表

・2023.02.21 英国 NCSC サプライチェーン・マッピングのガイダンスを公表しています。。。(2023.02.16)

・2023.02.05 ソフトウェアサプライチェーンリスクの軽減策について...

・2022.11.12 NIST ホワイトペーパー【プロジェクト概要】ソフトウェアサプライチェーンとDevOpsのセキュリティ実践:リスクベースアプローチによるDevSecOpsの実践

・2022.10.06 米国 CISA 拘束的運用指令23-01 - 連邦ネットワークにおける資産の可視化と脆弱性検出の改善

・2022.09.18 米国 行政管理予算局 (0MB) ソフトウェアサプライチェーンのセキュリティ強化 を公表

・2022.07.26 NIST White Paper (Draft) [プロジェクト概要] ソフトウェアサプライチェーンとDevOpsセキュリティの実践:リスクベースアプローチによるDevSecOpsの実践

・2022.07.16 経済産業省 令和3年度委託調査報告書(サイバーセキュリティ関係) 2022.07.14現在

・2022.06.25 NIST SP 1800-34 (ドラフト) コンピューティングデバイスの完全性の検証

・2022.05.08 NIST SP 800-161 Rev. 1 システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践

・2022.02.06 NIST ホワイトペーパー: 大統領令14028条第4e項に基づくソフトウェア・サプライチェーン・セキュリティ・ガイダンス

・2021.12.13 Apache Log4j 2 の脆弱性 (CVE-2021-44228)+ ソフトウェアの管理 + 脆弱性情報の管理

・2021.11.22 英国 サプライチェーンとマネージドサービスプロバイダーのサイバーセキュリティについての質問に対する回答 at 2021.11.15

・2021.10.30 NIST SP 800-161 Rev. 1 (Draft) システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践(第2次ドラフト)

・2021.09.03 NIST SP 1800-34B (ドラフト) コンピューティングデバイスの完全性の検証(初期ドラフト)

・2021.06.27 NIST ソフトウェアサプライチェーンにおける「クリティカル・ソフトウェア」の定義:大統領令14028に応えて...

・2021.06.02 米国 国家のサイバーセキュリティ向上に関する大統領令 (EO 14028) に基づくソフトウェアサプライチェーン管理に関係して。。。

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

・2021.05.01 NIST SP 800-161 Rev. 1 (ドラフト) システムと組織のためのサイバー・サプライチェーン・リスク管理の実践

・2020.02.05 NISTがサプライチェーンセキュリティの実践資料のドラフトを公開していますね。。。

 

 

ゼロトラスト(SP1800-35, SP800-207関係)...

まるちゃんの情報セキュリティ気まぐれ日記

1800-35...

・2023.08.24 NIST SP 1800-35(第3次初期ドラフト) ゼロトラストアーキテクチャの実装 Vol.D 機能デモ

・2023.07.23 NIST SP 1800-35(第2次初期ドラフト) ゼロトラストアーキテクチャの実装 (Vol. B, C)

・2022.08.10 NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装(初期ドラフト)(Vol. C, D)

・2022.07.09 NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装(初期ドラフト)(Vol. B)

・2022.06.07 NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装(初期ドラフト)(Vol. A)

 

800-207他

・2023.04.23 NIST SP 800-207A(ドラフト)マルチクラウド環境におけるクラウドネイティブ・アプリケーションにおけるアクセス制御のためのゼロトラストアーキテクチャモデル

・2022.12.12 カナダ サイバーセキュリティセンター 「ゼロトラスト・セキュリティモデル - ITSAP.10.008」

・2022.05.08 NIST ホワイトペーパー CSWP 20 ゼロトラストアーキテクチャのための計画:連邦政府管理者向け計画策定ガイド

・2022.03.15 米国 CISA 意見募集 ゼロトラスト原則のエンタープライズ・モビリティへの適用 (2022.03.07)

・2021.09.09 米国 CISA 意見募集 ゼロトラスト成熟度モデル

・2021.06.30 金融庁 「ゼロトラストの現状調査と事例分析に関する調査報告書」の公表

・2021.03.01 米国国家安全保障局 (NSA) ゼロトラストセキュリティモデルに関するガイダンス

・2020.12.14 PwC Japanが「NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と日本語訳」を公表していますね。。。

・2020.08.14 NIST SP 800-207 Zero Trust Architecture

・2020.02.14 NIST SP 800-207(Draft) Zero Trust Architecture (2nd Draft)

 

|

« 米国 ピュー研究所 過半数の米国民はAIに懸念を感じている?そして、ChatGPTを使ったことがある米国民は1/4? | Main | NATO CCDCoE 国家CERT/CSIRT - 権限と組織に関する文書 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 米国 ピュー研究所 過半数の米国民はAIに懸念を感じている?そして、ChatGPTを使ったことがある米国民は1/4? | Main | NATO CCDCoE 国家CERT/CSIRT - 権限と組織に関する文書 »