« NIST NIST IR 8270 商業衛星運用のためのサイバーセキュリティ入門 | Main | NPO デジタル・フォレンジック研究会のコラム by 丸山満彦 - 「「国家安全保障戦略 ― 何をだれから守るのか? 国益 (National Interests) とは何か?」 »

2023.08.01

経済産業省 ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引

こんにちは、丸山満彦です。

SBOM関係ですね。。。米国では、

ソフトウェアに含まれている脆弱性をより効果的に発見し、対処できるようにするための仕組みとして、米国では2021.05.12に大統領令14028 国家のサイバーセキュリティ向上に関する大統領令 [このブログ] でソフトウェアの部品表をつくることになり、2023.03.02 に公表された国家サイバーセキュリティ戦略 [このブログ] の「戦略目標 3.3: 安全でないソフトウェア製品とサービスに対する責任の転換」に挙げられ、2023.07.13 に公表された「国家サイバーセキュリティ戦略実施計画」[このブログ] では、戦略3.3の一部のイニシアティブ番号3.3.2でSBOMが記載され、実行に移されていますね。


イニシアティブ番号:3.3.2

イニシアティブのタイトル:ソフトウェア部品表(SBOM)を推進し、未サポートソフトウェアのリスクを軽減する

イニシアティブの内容 

重要インフラにおけるサポート対象外ソフトウェアの使用状況に関するデータを収集するため、サイバーセキュリティ・インフラセキュリティ庁は、SRMAを含む主要な利害関係者と協力して、SBOMの規模および実施におけるギャップを特定し、削減する。  CISA はまた、使用済み/サポート終了ソフトウェアに関する世界的にアクセス可能なデータベースの要件を検討し、SBOM に関する国際的なスタッフレベルの作業部会を招集する。

NCSリファレンス 

行政は......SBOMのさらなる開発を促進し、広く使用されている、あるいは重要インフラをサポートする未サポートのソフトウェアがもたらすリスクを特定し、軽減するためのプロセスを開発する。 

責任機関:CISA

完了時期:25年度第2四半期


 

で、ここに至る前までに、NITAが最小要件を公表したり、NISTが2022.02.04に白書 [このブログ] を公表したり、2022.11.09に プロジェクトの概要 [このブログ] を公表していますね。。。

CISAも2023年になってから、2023.04.21に文書 [このブログ] を出してきていますよね。。。

つい最近 (2023.06.23) に、OWASPがSBOM関連の文書 [このブログ] を公表していますね。。。

 

さて、ここからが本題ですが、、、日本では、経済産業省が、このたび、SBOMの導入手引きを公開していますね。。。

具体的につくられていて、かなり分かりやすくなっていると思います。

参考文献のリストもちゃんとあって、分かりやすいです。。。

 

経済産業省

・2023.07.28「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引」を策定しました


2.手引の概要

本手引は、SBOMを導入するメリットやSBOMに関する誤解と事実などSBOMに関する基本的な情報を提供するとともに、SBOMを実際に導入するにあたって認識・実施すべきポイントを、(1)環境構築・体制整備フェーズ、(2)SBOM作成・共有フェーズ、(3)SBOM運用・管理フェーズと、フェーズごとに示しております。
本手引の読者として、主に、パッケージソフトウェアや組込みソフトウェアに関するソフトウェアサプライヤーを対象としております。もちろん、ソフトウェアを調達して利用するユーザー企業においても、本手引を活用していただくことが可能です。具体的には、ソフトウェアにおける脆弱性管理に課題を抱えている組織や、SBOMという用語やSBOM導入の必要性は認識しているもののその具体的なメリットや導入方法を把握できていない組織などにとって、ソフトウェアの管理の一手法としてSBOMの導入等を検討する際に役に立つ手引となっています


 

法を把握できていない組織などにとって、ソフトウェアの管理の一手法としてSBOMの導入等を検討する際に役に立つ手引となっています。

関連資料

・[PDF] ソフトウェア管理に向けたSBOMの導入に関する手引 Ver1.0

20230801-142338

 

目次...

1. 背景と目的
1.1.
背景
1.2.
目的
1.3.
主な対象読者
1.4.
主な対象ソフトウェア
1.5.
活用方法
1.6.
本手引のサマリー

2. SBOM の概要
2.1. SBOM
とは
2.2. SBOM
導入のメリット
2.3. SBOM
の「最小要素」
2.4. SBOM
フォーマットの例
2.5. SBOM
に関する誤解と事実

3. SBOM 導入に関する基本指針・全体像
3.1. SBOM
導入における基本指針
3.2. SBOM
導入プロセス

4. 環境構築・体制整備フェーズにおける実施事項・認識しておくべきポイント
4.1. SBOM
適用範囲の明確化
4.2. SBOM
ツールの選定
4.3. SBOM
ツールの導入・設定
4.4. SBOM
ツールに関する学習

5. SBOM 作成・共有フェーズにおける実施事項・認識しておくべきポイント
5.1.
コンポーネントの解析
5.2. SBOM
の作成
5.3. SBOM
の共有

6. SBOM 運用・管理フェーズにおける実施事項・認識しておくべきポイント
6.1. SBOM
に基づく脆弱性管理、ライセンス管理等の実施
6.2. SBOM
情報の管理

7. 付録︓チェックリスト・用語集等
7.1. SBOM
導入に向けた実施事項チェックリスト
7.2.
用語集
7.3.
参考情報

・[PDF] 「ソフトウェア管理に向けたSBOMの導入に関する手引」 概要資料

20230801-142504

 

・[XLSX] 「ソフトウェア管理に向けたSBOMの導入に関する手引」付録 チェックリスト

 

 

関連リンク

サイバー・フィジカル・セキュリティ確保に向けたソフトウェア管理手法等検討タスクフォース

・[PDF] OSS の利活用及びそのセキュリティ確保に向けた管理手法に関する事例集

20230801-142405

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.07.15 米国 ホワイトハウス サイバーセキュリティ戦略実施計画

・2023.07.07 総務省 「ICTサイバーセキュリティ総合対策2023」(案)に対する意見募集

・2023.07.03 OWASP SBOMガイダンス CycloneDX v1.5 (2023.06.23)

・2023.04.25 米国 CISA SBOM関連の二文書

・2023.04.18 国際医療機器規制当局フォーラム 「レガシー医療機器のサイバーセキュリティのための原則と慣行」「医療機器サイバーセキュリティのためのSBOMの原則と実践」 (2023.04.11, 04.13)

・2023.03.04 米国 国家サイバーセキュリティ戦略を発表

・2023.02.21 英国 NCSC サプライチェーン・マッピングのガイダンスを公表しています。。。(2023.02.16)

・2023.02.05 ソフトウェアサプライチェーンリスクの軽減策について...

・2022.11.12 NIST ホワイトペーパー【プロジェクト概要】ソフトウェアサプライチェーンとDevOpsのセキュリティ実践:リスクベースアプローチによるDevSecOpsの実践

・2022.10.06 米国 CISA 拘束的運用指令23-01 - 連邦ネットワークにおける資産の可視化と脆弱性検出の改善

・2022.09.18 米国 行政管理予算局 (0MB) ソフトウェアサプライチェーンのセキュリティ強化 を公表

・2022.07.26 NIST White Paper (Draft) [プロジェクト概要] ソフトウェアサプライチェーンとDevOpsセキュリティの実践:リスクベースアプローチによるDevSecOpsの実践

・2022.07.16 経済産業省 令和3年度委託調査報告書(サイバーセキュリティ関係) 2022.07.14現在

・2022.06.25 NIST SP 1800-34 (ドラフト) コンピューティングデバイスの完全性の検証

・2022.05.08 NIST SP 800-161 Rev. 1 システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践

・2022.02.06 NIST ホワイトペーパー: 大統領令14028条第4e項に基づくソフトウェア・サプライチェーン・セキュリティ・ガイダンス

・2021.12.13 Apache Log4j 2 の脆弱性 (CVE-2021-44228)+ ソフトウェアの管理 + 脆弱性情報の管理

・2021.11.22 英国 サプライチェーンとマネージドサービスプロバイダーのサイバーセキュリティについての質問に対する回答 at 2021.11.15

・2021.10.30 NIST SP 800-161 Rev. 1 (Draft) システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践(第2次ドラフト)

・2021.09.03 NIST SP 1800-34B (ドラフト) コンピューティングデバイスの完全性の検証(初期ドラフト)

・2021.06.27 NIST ソフトウェアサプライチェーンにおける「クリティカル・ソフトウェア」の定義:大統領令14028に応えて...

・2021.06.02 米国 国家のサイバーセキュリティ向上に関する大統領令 (EO 14028) に基づくソフトウェアサプライチェーン管理に関係して。。。

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

・2021.05.01 NIST SP 800-161 Rev. 1 (ドラフト) システムと組織のためのサイバー・サプライチェーン・リスク管理の実践

・2020.02.05 NISTがサプライチェーンセキュリティの実践資料のドラフトを公開していますね。。。

 

 

|

« NIST NIST IR 8270 商業衛星運用のためのサイバーセキュリティ入門 | Main | NPO デジタル・フォレンジック研究会のコラム by 丸山満彦 - 「「国家安全保障戦略 ― 何をだれから守るのか? 国益 (National Interests) とは何か?」 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« NIST NIST IR 8270 商業衛星運用のためのサイバーセキュリティ入門 | Main | NPO デジタル・フォレンジック研究会のコラム by 丸山満彦 - 「「国家安全保障戦略 ― 何をだれから守るのか? 国益 (National Interests) とは何か?」 »