米国 CISA サプライチェーンリスクマネジメント（SCRM）のためのハードウェア部品表フレームワーク（HBOM）

こんにちは、丸山満彦です。

CISAがサプライチェーンマネジメントの一環として、「ハードウェア」部品表のフレームワーク(HBOM) を公表していますね。。。SBOMに続いて、HMOM...

xBOMですね。。。

 

● CISA 

・２2023.09.25 CISA Releases Hardware Bill of Materials Framework (HBOM) for Supply Chain Risk Management (SCRM)  

 

CISA Releases Hardware Bill of Materials Framework (HBOM) for Supply Chain Risk Management (SCRM)	CISA、サプライチェーンリスクマネジメント（SCRM）のためのハードウェア部品表フレームワーク（HBOM）をリリース
WASHINGTON - Today, the Cybersecurity and Infrastructure Security Agency (CISA) released the new Hardware Bill of Materials Framework (HBOM) for Supply Chain Risk Management product from the Information and Communications Technology (ICT) Supply Chain Risk Management (SCRM) Task Force.	ワシントン - 本日、サイバーセキュリティ・インフラセキュリティ庁（CISA）は、情報通信技術（ICT）サプライチェーンリスクマネジメント（SCRM）タスクフォースから、サプライチェーンリスクマネジメントのための新しいハードウェア部品表フレームワーク（HBOM）を発表した。
“The HBOM Framework offers a consistent and repeatable way for vendors and purchasers to communicate about hardware components, enabling effective risk assessment and mitigation in the supply chain. With standardized naming, comprehensive information, and clear guidance, organizations can safeguard against economic and security risks, enhancing overall resilience,” said CISA National Risk Management Center Assistant Director and ICT SCRM Task Force Co-Chair Mona Harrington. “By enhancing transparency and traceability through HBOM, stakeholders can identify and address potential risks within the supply chain, ensuring that the digital landscape remains robust and secure against emerging threats and challenges.”	「HBOMフレームワークは、ベンダーと購入者がハードウェア部品について一貫性のある反復可能な方法を提供し、サプライチェーンにおける効果的なリスクアセスメントと低減を可能にする。標準化された名称、包括的な情報、明確なガイダンスにより、組織は経済的リスクとセキュリティ・リスクから保護することができ、全体的なレジリエンスを高めることができる」と、CISAナショナル・リスク・マネジメント・センター・アシスタント・ディレクターでICT SCRMタスクフォース共同議長のモナ・ハリントンは述べた。「HBOMを通じて透明性とトレーサビリティを強化することで、関係者はサプライチェーン内の潜在的なリスクを特定し、対処することができる。
The HBOM product provides a framework that includes a consistent naming methodology for attributes of components, a format for identifying and providing information about the different types of components, and guidance of what HBOM information is appropriate depending on the purpose for which the HBOM will be used.	HBOM製品は、コンポーネントの属性に対する一貫した命名方法、異なるタイプのコンポーネントを識別し情報を提供するためのフォーマット、HBOMが使用される目的に応じてどのようなHBOM情報が適切であるかについてのガイダンスを含むフレームワークを提供する。
The framework has several key components:	フレームワークには、いくつかの重要な構成要素がある：
Use Case Categories (Appendix A): Provides a range of potential use cases that purchasers may have for HBOMs, based on the nature of the risk the purchaser seeks to evaluate.	ユースケースカテゴリー（附属書A）： ユースケース・カテゴリー（Appendix A）：購入者が評価しようとするリスクの性質に基づき、購入者がHBOMを使用する可能性のあるユースケースの範囲を提供する。
Format of HBOMs (Appendix B): Framework sets forth a format that can be used to ensure consistency across HBOMs and to increase the ease with which HBOMs can be produced and used.	HBOMのフォーマット（附属書B）： HBOMs の一貫性を確保し、HBOMs の作成と利用を容易にするために使用できる形式を定める。
Data Field Taxonomy (Appendix C): Provides a taxonomy of component/input attributes that, depending on the use for which the purchaser intends to use an HBOM, may be appropriate to include in an HBOM.	データフィールド分類法（附属書C）： 購入者がHBOMを使用しようとする用途に応じて、HBOMに含めることが適切と思われる構成要素／入力属性の分類法を提供する。
“This methodology gives organizations a useful tool to evaluate supply chain risks with a consistent and predictable structure for a variety of use cases” said John Miller, Senior Vice President of Policy and General Counsel at Information Technology Industry Council (ITI) and ICT SCRM Task Force Co-Chair. The product was developed by the ICT SCRM Task Force’s HBOM Working Group, which includes subject matter experts from a diverse set of private and public sector organizations.	「情報技術産業審議会（ITI）の政策及び法律顧問担当上級副会長であり、ICT SCRM タスクフォース共同議長を務めるジョン・ミラー氏は、「この方法論は、様々なユースケースに対応し、一貫した予測可能な構造でサプライチェーンリスクを評価するための有用なツールを組織に提供する。この製品は、ICT SCRMタスクフォースのHBOM作業部会によって開発されたもので、この作業部会には、多様な民間および公的機関の専門家が参加している。
"This resource plays a vital role in adopting proactive approaches to mitigate risks effectively," said Robert Mayer, Senior Vice President of Cybersecurity and Innovation at US Telecom and ICT SCRM Task Force Co-Chair.	USテレコムのサイバーセキュリティ・イノベーション担当上級副社長であり、ICT SCRMタスクフォース共同議長を務めるロバート・メイヤー氏は、「このリソースは、リスクを効果的に軽減するための積極的なアプローチを採用する上で重要な役割を果たす」と述べた。

 

 

・2023.09.25 Hardware Bill of Materials (HBOM) Framework for Supply Chain Risk Management

Hardware Bill of Materials (HBOM) Framework for Supply Chain Risk Management	サプライチェーンリスクマネジメントのための部品表（HBOM）フレームワーク
The Hardware Bill of Materials (HBOM) Framework for Supply Chain Risk Management product provides a framework that includes a consistent naming methodology for attributes of components, a format for identifying and providing information about the different types of components, and guidance of what HBOM information is appropriate depending on the purpose for which the HBOM will be used.	サプライチェーンリスクマネジメントのためのハードウェア部品表（HBOM）フレームワーク」は、部品の属性に対する一貫した命名方法、異なる種類の部品に関する識別と情報提供のためのフォーマット、HBOMが使用される目的に応じてどのようなHBOM情報が適切であるかのガイダンスを含むフレームワークを提供する。

 

・[PDF] A Hardware Bill of Materials Framework for Supply Chain Risk Management

 

・[PDF] A Hardware Bill of Materials Framework for Supply Chain Risk Management Fact Sheet

 

A Hardware Bill of Materials Framework for Supply Chain Risk Management	サプライチェーンリスクマネジメントのためのハードウェア部品表フレームワーク
OVERVIEW	概要
The Cybersecurity and Infrastructure Security Agency’s (CISA) Information and Communications Technology (ICT) Supply Chain Risk Management (SCRM) Task Force1 has identified and provided recommendations to address the economic and security risks associated with equipment components that may be untrusted, compromised, or subject to availability risks by creating the document entitled, A Hardware Bill of Materials (HBOM) Framework for Supply Chain Risk Management. The product is aimed at creating a consistent, repeatable way for vendors to communicate to purchasers the hardware components in products that they have or may purchase, enabling purchasers to evaluate and mitigate risks in their supply chain.	サイバーセキュリティ・インフラフラセキュリティ庁（CISA）の情報通信技術（ICT）サプライチェーンリスクマネジメント（SCRM）タスクフォース1 は、「サプライチェーンリスクマネジメントのためのハードウェア部品表（HBOM）フレームワーク」と題する文書を作成することにより、信頼されていない、危険にさらされている、または可用性リスクの対象となる可能性のある機器部品に関連する経済的リスクおよびセキュリティリスクに対処するための識別と勧告を行った。この製品は、ベンダーが購入者に対し、購入済みまたは購入する可能性のある製品に含まれるハードウェア・コンポーネントをコミュニケーションするための一貫した反復可能な方法を作成することを目的としており、これにより購入者はサプライチェーンにおけるリスクを評価し、軽減することができる。
BENEFITS OF HBOMs	HBOMのメリット
When purchasing hardware, it is crucial for a company to consider the utilization of an HBOM in order to make informed decisions regarding safe and secure hardware. A Hardware Bill of Materials (HBOM) Framework for Supply Chain Risk Management provides several benefits to the consumer by creating a consistent, repeatable way for vendors to communicate with purchasers about the hardware components in products that they have or will acquire in the future. This supports purchasers in the evaluation and mitigation of risks in their supply chain. Several additional benefits the framework addresses include:	ハードウェアを購入する際、企業が安全でセキュアなハードウェアについて十分な情報を得た上で意思決定を行うためには、HBOMの活用を検討することが極めて重要である。サプライチェーンリスクマネジメントのためのハードウェア部品表(HBOM)フレームワークは、ベンダーが購入者に対して、現在または将来入手する製品に含まれるハードウェアコンポーネントについて、一貫性のある反復可能なコミュニケーション方法を構築することにより、消費者にいくつかのメリットを提供する。これにより、購入者はサプライチェーンにおけるリスクを評価し、低減することができる。さらに、このフレームワークには以下のような利点がある：
• Provides a useful tool to help industry and government evaluate and address supply chain risks	・産業界と政府がサプライチェーンのリスクを評価し,対処するのに役立つツールを提供する。
• Helps organizations illuminate supply chains and support the efficient evaluation and mitigation of certain risks	・組織がサプライチェーンを明らかにし,特定のリスクの効率的な評価と低減を支援する。
• Provides portability between suppliers and purchasers	・供給者と購入者間の移植性を提供する。
RECOMMENDATIONS FOR AN HBOM USE CASE	HBOMのユースケースに関する推奨事項
Requesting HBOMs is one of the many activities that purchasers can leverage to evaluate their supply chains in order to mitigate risk. Currently available HBOM formats need supplemental assistance to be portable between suppliers and purchasers and as such, this HBOM framework aims to advance such interoperability. The principal HBOM “use cases” detailed in the report were identified by the ICT industry representative and government stakeholders as relevant for supply chain risk management purposes. These principal HBOM “use cases” can be categorized into three high-level categories, as described in Table 1.	HBOMの要請は、リスクを軽減するためにサプライチェーンを評価するために購入者が活用できる多くの活動の一つである。現在利用可能なHBOMフォーマットは、サプライヤーと購入者の間で移植可能であるために補足的な支援が必要であり、そのようなものとして、このHBOMフレームワークは、そのような相互運用性を促進することを目的としている。本報告書に詳述されている主要なHBOMの「ユースケース」は、サプライチェーン・リスクマネジメントの目的に関連するものとして、ICT業界の代表者及び政府の利害関係者によって特定されたものである。これらの主なHBOMの「ユースケース」は、表1に示すように、3つのハイレベルカテゴリーに分類することができる。
Table 1: “Use Case” Category Definitions	表 1：「ユースケース」カテゴリー定義
“Use Case” Category : Category Definition	「ユースケース」カテゴリー：カテゴリー定義
Compliance: Situations which assess the product’s compliance with rules and requirements. These scenarios will help an entity with organizing the information it may need to assess the adherence to internal, industry, customer, and government requirements.	コンプライアンス： 製品が規則や要件に準拠しているかを評価する状況。これらのシナリオは、事業体が内部、業界、顧客、政府の要求事項への準拠を評価するために必要な情報を整理するのに役立つ。
Security : Scenarios that evaluate the product’s security risk based on the exposure to known vulnerabilities and/or high susceptibility to untrusted entities/geolocations.	セキュリティ：既知の脆弱性へのエクスポージャー、および／または信頼できない事業体／地理的位置に対する高い感受性に基づいて、製品のセキュリティリスクを評価するシナリオ。
Availability : Conditions that assess product impacts from world events and supply chain diversification (or lack thereof).	可用性：世界的な出来事やサプライチェーンの多様化（またはその欠如）による製品への影響を評価する条件。
DATA FIELDS AND EXAMPLE FORMATS	データフィールドとフォーマット例
This product is intended to be used on a voluntary and flexible basis and includes three key components: HBOM Use Case Categories, HBOM Formats, and a Data Field Taxonomy. Overall, this product provides definitional and formatting consistency that is helpful regardless of the specific HBOM information to be shared. It also provides guidance on what HBOM components may be appropriate to include in HBOMs that are provided to meet different use cases/goals that purchasers may have (e.g., evaluating security, promoting resiliency/availability, or complying with laws or regulations).	本製品は、自主的かつ柔軟に使用されることを意図しており、3 つの主要な構成要素を含む： HBOMユースケースカテゴリー、HBOMフォーマット、およびデータフィールド分類法である。全体として、この製品は、共有される特定のHBOM情報に関係なく有用な定義と書式の一貫性を提供する。また、どのような HBOM コンポーネントを HBOM に含めるのが適切かについてのガイダンスを提供する。HBOM は、購入者が持ちうるさまざまなユースケース／目標（例えば、セキュリティの評価、レジリエンス／アベイラビリティの促進、または法律や規制の遵守）を満たすために提供される。
In the example below, “Assembly X1,” “Kit X2,” and “Assembly W2” can be separated into additional pieces. Depending on the use-case, key information may reside within these components and may be hidden at the Assembly/Kit level. This is shown in figure 1:	以下の例では、"アセンブリX1"、"キットX2"、"アセンブリW2 "は、さらに分割することができる。ユースケースによっては、重要な情報がこれらの構成要素の中に存在し、アセンブリ／キットレベルでは隠されている場合がある。これを図1に示す：
Figure 1: Format Example	図1：フォーマットの例
RESOURCES	参考資料
• ICT Supply Chain Risk Management Task Force	・ICT サプライチェーンリスクマネジメントタスクフォース
• ICT Supply Chain Library	・ICT サプライチェーン・ライブラリ
• ICT SCRM Task Force Resources	・ICT SCRM タスクフォースのリソース

 

 

---

 

HBOMについては、ここに少し触れられていますね...

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.07.03 OWASP SBOMガイダンス CycloneDX v1.5 (2023.06.23)