« 英国 年内のAI安全サミットに向けて陣頭指揮をとる2名を任命し、Aiヘルスケア研究に1300万£(約24億円)を拠出... (2023.08.10) | Main | NPO日本システム監査人協会 システム監査・管理ガイドライン (2023.08.10) »

2023.08.15

ドイツ SBOMの要件...技術ガイドライン TR-03183:製造業者および製品に対するサイバーレジリエンス要件 (2023.08.04)

こんにちは、丸山満彦です。

オープンソースのセキュリティリスクへの対応、サプライチェーンリスクとも言えますかね。。。についての回答として、SBOMが注目されていますが、ドイツのSBOMに関する技術ガイドライン、TR-03183の紹介...

 

Bundesamt für Sicherheit in der Informationstechnik: BSI

・2023.08.04 SBOM-Anforderungen: TR-03183-2 stärkt Sicherheit in der Software-Lieferkette

SBOM-Anforderungen: TR-03183-2 stärkt Sicherheit in der Software-Lieferkette SBOM 要件 TR-03183-2がソフトウェア・サプライチェーンのセキュリティを強化する
Am 4. August hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) Teil 2 der Technischen Richtlinie TR-03183 „Cyber-Resilienz-Anforderungen“ veröffentlicht. Das Dokument definiert formelle und fachliche Vorgaben für Software-Stücklisten (SBOM). Damit bietet das BSI Softwareherstellern eine Empfehlung zur Gestaltung von SBOMs, die der Erhöhung der Sicherheit in der Software-Lieferkette (Software Supply Chain Security) dienen. ドイツ連邦情報セキュリティ局(BSI)は8月4日、技術ガイドラインTR-03183「サイバーレジリエンス要件」のパート2を発表した。この文書は、ソフトウェア部品表(SBOM)の形式的・技術的要件を定義している。これにより、BSIはソフトウェアメーカーに対し、ソフトウェアサプライチェーンにおけるセキュリティ(ソフトウェアサプライチェーンセキュリティ)の向上に役立つSBOMの設計に関する推奨事項を提示している。
Eine „Software Bill of Materials“ (SBOM) dokumentiert, welche kommerziellen und freien Software-Bestandteile in Software-Produkten enthalten sind. Sie macht Abhängigkeiten zu Komponenten Dritter transparent und hilft damit Herstellern, Sicherheitsforschenden sowie professionellen Anwenderinnen und Anwendern beim Monitoring von Schwachstellen. ソフトウェア部品表」(SBOM)は、ソフトウェア製品に含まれる商用および無償のソフトウェア・コンポーネントを文書化したものである。これにより、サードパーティのコンポーネントへの依存関係が透明化されるため、製造業者、セキュリティ研究者、プロのユーザーが脆弱性を監視するのに役立つ。

 

 

BSI TR-03183 Cyber-Resilienz-Anforderungen

Software-Stücklisten (SBOM) gehören zu den zentralen Forderungen des europäischen Cyber Resilience Act (CRA). Dieser liegt seit September 2022 als Entwurf der EU-Kommission vor und befindet sich derzeit im Gesetzgebungsverfahren. ソフトウェアパーツリスト(SBOM)は、欧州サイバーレジリエンス法(CRA)の中心的な要件のひとつである。これは、2022年9月からEU委員会から草案として入手可能であり、現在立法過程にある。
BSI TR-03183 Cyber-Resilienz-Anforderungen BSI TR-03183 サイバーレジリエンス要件
Die Technische Richtlinie TR-03183: Cyber-Resilienz-Anforderungen an Hersteller und Produkte hat zum Ziel, Herstellern schon vorab die Art der Anforderungen, die mit dem künftigen Cyber Resilience Act (CRA) auf sie zukommen, zugänglich zu machen. Der CRA wurde als Entwurf der EU-Kommission im September 2022 veröffentlicht und befindet sich derzeit im Gesetzgebungsverfahren. Im Nachgang möglicher Änderungen am CRA im Vergleich zum Entwurfstext kann auch die Technische Richtlinie aktualisiert werden. テクニカルガイドラインTR-03183: Cyber Resilience Requirements for Manufacturers and Productsは、将来のサイバーレジリエンス法(CRA)が製造業者に課すことになる要求事項の種類を事前に入手できるようにすることを目的としている。CRAは2022年9月にEU委員会から草案として公表され、現在、立法過程にある。草案と比較してCRAが変更される可能性があるため、技術ガイドラインも更新される可能性がある。
In Teil 1 "Allgemeine Anforderungen" werden Anforderungen an Hersteller und Produkte in Anlehnung an die Anforderungen aus Artikeln und Anhang des CRA zusammengestellt. 第 1 部「一般要求事項」では、CRA の条文および付属書の要求事項に基づき、製造業者および製品に対する要求事項がまとめられている。
In Teil 2 "Software Bill of Materials (SBOM)" werden formelle und fachliche Vorgaben für SBOMs beschrieben, die u. a. in Teil 1 der TR-03183 gefordert werden. 第2部 "ソフトウェア部品表(SBOM)"では、特にTR-03183の第1部で要求されているSBOMの形式的及び技術的要求事項を記述している。

 

・[PDF]

20230815-95640

 

・[DOCX] 仮訳

 


 

参考 SBOM関連

まるちゃんの情報セキュリティ気まぐれ日記

・2023.08.13 総務省 「ICTサイバーセキュリティ総合対策2023」(案)に対する意見募集の結果及び「ICTサイバーセキュリティ総合対策2023」の公表

・2023.08.01 経済産業省 ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引

・2023.07.15 米国 ホワイトハウス サイバーセキュリティ戦略実施計画

・2023.07.07 総務省 「ICTサイバーセキュリティ総合対策2023」(案)に対する意見募集

・2023.07.03 OWASP SBOMガイダンス CycloneDX v1.5 (2023.06.23)

・2023.04.25 米国 CISA SBOM関連の二文書

・2023.04.18 国際医療機器規制当局フォーラム 「レガシー医療機器のサイバーセキュリティのための原則と慣行」「医療機器サイバーセキュリティのためのSBOMの原則と実践」 (2023.04.11, 04.13)

・2023.03.04 米国 国家サイバーセキュリティ戦略を発表

・2023.02.21 英国 NCSC サプライチェーン・マッピングのガイダンスを公表しています。。。(2023.02.16)

・2023.02.05 ソフトウェアサプライチェーンリスクの軽減策について...

・2022.11.12 NIST ホワイトペーパー【プロジェクト概要】ソフトウェアサプライチェーンとDevOpsのセキュリティ実践:リスクベースアプローチによるDevSecOpsの実践

・2022.10.06 米国 CISA 拘束的運用指令23-01 - 連邦ネットワークにおける資産の可視化と脆弱性検出の改善

・2022.09.18 米国 行政管理予算局 (0MB) ソフトウェアサプライチェーンのセキュリティ強化 を公表

・2022.07.26 NIST White Paper (Draft) [プロジェクト概要] ソフトウェアサプライチェーンとDevOpsセキュリティの実践:リスクベースアプローチによるDevSecOpsの実践

・2022.07.16 経済産業省 令和3年度委託調査報告書(サイバーセキュリティ関係) 2022.07.14現在

・2022.06.25 NIST SP 1800-34 (ドラフト) コンピューティングデバイスの完全性の検証

・2022.05.08 NIST SP 800-161 Rev. 1 システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践

・2022.02.06 NIST ホワイトペーパー: 大統領令14028条第4e項に基づくソフトウェア・サプライチェーン・セキュリティ・ガイダンス

・2021.12.13 Apache Log4j 2 の脆弱性 (CVE-2021-44228)+ ソフトウェアの管理 + 脆弱性情報の管理

・2021.11.22 英国 サプライチェーンとマネージドサービスプロバイダーのサイバーセキュリティについての質問に対する回答 at 2021.11.15

・2021.10.30 NIST SP 800-161 Rev. 1 (Draft) システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践(第2次ドラフト)

・2021.09.03 NIST SP 1800-34B (ドラフト) コンピューティングデバイスの完全性の検証(初期ドラフト)

・2021.06.27 NIST ソフトウェアサプライチェーンにおける「クリティカル・ソフトウェア」の定義:大統領令14028に応えて...

・2021.06.02 米国 国家のサイバーセキュリティ向上に関する大統領令 (EO 14028) に基づくソフトウェアサプライチェーン管理に関係して。。。

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

・2021.05.01 NIST SP 800-161 Rev. 1 (ドラフト) システムと組織のためのサイバー・サプライチェーン・リスク管理の実践

・2020.02.05 NISTがサプライチェーンセキュリティの実践資料のドラフトを公開していますね。。。

 

|

« 英国 年内のAI安全サミットに向けて陣頭指揮をとる2名を任命し、Aiヘルスケア研究に1300万£(約24億円)を拠出... (2023.08.10) | Main | NPO日本システム監査人協会 システム監査・管理ガイドライン (2023.08.10) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 英国 年内のAI安全サミットに向けて陣頭指揮をとる2名を任命し、Aiヘルスケア研究に1300万£(約24億円)を拠出... (2023.08.10) | Main | NPO日本システム監査人協会 システム監査・管理ガイドライン (2023.08.10) »