« 国際ランサムウェア対策イニシアティブ 2023 共同声明 (2023.11.01) | Main | 世界経済フォーラム (WEF) ランサムウェアの警告サインに注意しよう (2023.11.08) »

2023.11.12

米国 NSA CISA ソフトウェアサプライチェーンの確保: ソフトウェア部品表の開示に関する推奨事項

こんにちは、丸山満彦です。

一緒にしたセミナーのパネルディスカッションで、猪俣先生が、SBOMの必要性について、米国のお菓子の成分表を例に説明していて非常にわかりやすかったです。

そのパネルでも、必要性の理解はできたし、海外でも取り組み始めているのは理解したけど、実装はどうするんだ...という話になりました。。。

特に3つあるデータ形式は何を使うの?みたいな話もでましたね。。。

 

NSA(国家安全保障局)、CISA等が協力してが、SBOMについての文書を公表しています。。。

 

National Security Agency/Central Security Service

・2023.11.09 [PDF] CTR: Securing the Software Supply Chain: Recommended Practices for Software Bill of Materials Consumption

20231112-62950

 [DOCX] 仮訳

 

 

エグゼクティブサマリー...

Executive Summary 要旨 
Cyberattacks are conducted via cyberspace and target an enterprise’s use of cyberspace for the purpose of disrupting, disabling, destroying, or maliciously controlling a computing environment or infrastructure; or destroying the integrity of the data or stealing controlled information.   サイバー攻撃はサイバースペースを通じて行われ、コンピューティング環境やインフラを混乱させたり、使用不能にしたり、破壊したり、悪意を持ってコントロールしたり、データの完全性を破壊したり、コントロールされた情報を盗んだりする目的で、企業がサイバースペースを使用することを標的にする。
Cyberattacks such as those executed against SolarWinds and its customers and exploits that take advantage of vulnerabilities such as Log4j, highlight weaknesses within software supply chains, an issue which spans both commercial and open source software and impacts both private and Government enterprises. Accordingly, there is an increased need for software supply chain security awareness and cognizance regarding the potential for software supply chains to be weaponized by nation state adversaries using similar tactics, techniques, and procedures (TTPs).  SolarWindsとその顧客に対して実行されたサイバー攻撃や、Log4jなどの脆弱性を利用した悪用は、ソフトウェアサプライチェーン内の弱点を浮き彫りにしており、この問題は商用ソフトウェアとオープンソースソフトウェアの両方にまたがり、民間企業と政府企業の両方に影響を与えている。したがって、ソフトウェア・サプライ・チェーンのセキュリティに対する認識と、ソフトウェア・サプライ・チェーンが、同様の戦術、技術、手順(TTPs)を使用する国家の敵対者によって武器化される可能性に関する認識の必要性が高まっている。
In response, the White House released an Executive Order on Improving the Nation’s Cybersecurity (EO 14028)  that established new requirements to secure the federal government’s software supply chain. The Enduring Security Framework (ESF)  , led by a collaborative partnership across private industry, academia and government, established the Software Supply Chain Working Panel which released a three part Recommended Practices Guide series to serve as a compendium of suggested practices to help ensure a more secure software supply chain for developers, suppliers, and customer stakeholders.  これを受けてホワイトハウスは、連邦政府のソフトウェア・サプライ・チェーンを保護するための新たな要件を定めた「国家のサイバーセキュリティの改善に関する大統領令」(EO 14028)を発表した。民間企業、学術界、政府間の協力的なパートナーシップによって設立された「不朽のセキュリティフレームワーク(ESF)」は、ソフトウェアサプライチェーンワーキングパネルを設置し、開発者、サプライヤー、顧客の利害関係者にとって、より安全なソフトウェアサプライチェーンを確保するための提案プラクティスの大要として、3部構成の推奨プラクティスガイドシリーズを発表した。
Similarly, the ESF Software Supply Chain Working Panel established this second phase of guidance to provide further details for several of the Phase I Recommended Practices Guide activities. This guidance may be used as a basis of describing, assessing and measuring security practices relative to the software lifecycle. Additionally, suggested practices listed herein may be applied across the acquisition, deployment, and operational phases of a software supply chain.  同様に、ESF ソフトウエアサプライチェーンワーキングパネルは、第 1 段階の推奨実践ガイドの活動 のいくつかをさらに詳しく説明するために、この第 2 段階のガイダンスを策定した。このガイダンスは、ソフトウエアのライフサイクルに関連するセキュリ ティ対策の記述、評価、測定の基礎として使用することができる。さらに、ここに記載された推奨される実施方法は、ソフトウエアサプライチェーンの取得、配備、運用の各フェーズに適用することができる。
The software supplier is responsible for liaising between the customer and software developer. Accordingly, vendor responsibilities include ensuring the integrity and security of software via contractual agreements, software releases and updates, notifications, and mitigations of vulnerabilities. This guidance contains recommended best practices and standards to aid customers in these tasks.  ソフトウエア供給者は、顧客とソフトウエア開発者との間の連絡に責任を負う。したがって、ベンダーの責任には、契約合意、ソフトウ ェアのリリースと更新、通知、脆弱性の緩和を通じて、ソフトウエアの完全性とセキュリティを確保することが含まれる。本ガイダンスには、これらの作業において顧客を支援するために推奨されるベストプラクティスと基準が含まれている。
This document will provide guidance in line with industry best practices and principles which software developers and software suppliers are  encouraged to reference. These principles include managing open source software and software bills of materials to maintain and provide awareness about the security of software.  本文書は、業界のベストプラクティスと原則に沿ったガイダンスを提供するものであり、ソフ トウェア開発者とソフトウェア供給者はこれを参照することが推奨される。これらの原則には、オープンソースソフトウェアやソフトウェア部品表を管理し、 ソフトウェアのセキュリティに関する意識を維持・提供することが含まれる。
[1] Committee on National Security Systems (CNSS) [1] 国家安全保障システム委員会(CNSS)
[2] https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-onimproving-the-nations-cybersecurity/  
[3] ESF is a cross-sector working group that operates under the auspices of Critical Infrastructure Partnership Advisory Council (CIPAC) to address threats and risks to the security and stability of U.S. national security systems. It is comprised of experts from the U.S. government as well as representatives from the Information Technology, Communications, and the Defense Industrial Base sectors. The ESF is charged with bringing together representatives from private and public sectors to work on intelligence-driven, shared cybersecurity challenges. [3] ESFは、米国の国家安全保障システムの安全性と安定性に対する脅威とリスクに対処するため、重要インフラパートナーシップ諮問委員会(CIPAC)の後援の下で運営されるセクター横断的な作業部会である。ESFは、米国政府の専門家、情報技術、通信、防衛産業基盤の各セクターの代表者で構成されている。ESFは、民間部門と公的部門の代表者を集め、情報主導でサイバーセキュリティの課題を共有することに取り組んでいる。

 

参考...

開発者向け

・2023.08 [PDF] SECURING THE SOFTWARE SUPPLY CHAIN RECOMMENDED PRACTICES GUIDE FOR DEVELOPERS

20231114-42909

 

顧客向け

・2023.10 [PDF] SECURING THE SOFTWARE SUPPLY CHAIN RECOMMENDED PRACTICES GUIDE FOR COSTOMERS

20231114-42917

 

|

« 国際ランサムウェア対策イニシアティブ 2023 共同声明 (2023.11.01) | Main | 世界経済フォーラム (WEF) ランサムウェアの警告サインに注意しよう (2023.11.08) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 国際ランサムウェア対策イニシアティブ 2023 共同声明 (2023.11.01) | Main | 世界経済フォーラム (WEF) ランサムウェアの警告サインに注意しよう (2023.11.08) »