米国 NSA SBOM管理のための推奨事項 (Ver. 1.1)
こんにちは、丸山満彦です。
米国の国家安全保障局 (NSA) がSBOM管理のための推奨事項を更新していますね。。。
● Nationatl Security Agency; NSA / Central Security Service
・2024.01.04 CSI: Recommendations for Software Bill of Materials (SBOM) Management (Jan 2024 Update)
・[DOCX] 仮訳
SBOMというよりも、Cybersecurity Supply Chain Risk Management (C-SCRM) の重要性を説いている感じですね。。。
エグゼクティブサマリー...
Executive summary | 要旨 |
The dramatic increase in cyber compromises over the past five years, specifically of software supply chains, prompted intense scrutiny of measures to strengthen the resilience of supply chains for software used throughout government and critical infrastructure. Several policies and working groups at multiple levels within the U.S. Government focus on this need to ensure the authenticity, integrity, and trustworthiness of software products. The office of the National Manager for National Security Systems (NSS), working in collaboration with other NSA organizations, researched and tested tools that manage Software Bills of Materials (SBOMs) as part of a Cybersecurity Supply Chain Risk Management (C-SCRM) strategy. This guidance includes important recommendations for SBOM management tool functionality derived from the research and evaluation of various SBOM management tools. | 過去 5 年間、特にソフトウェアのサプライチェーンにおけるサイバー侵害が劇的に増加したことから、 政府や重要インフラで使用されるソフトウェアのサプライチェーンのレジリエンスを強化するための対策について、 激しい精査が行われるようになった。米国政府内の複数のレベルで、ソフトウェア製品の本人認証、完全性、信頼性を確保する必要性に焦点を当てた政策や作業部会がいくつか存在する。国家安全保障システム(NSS)担当国家マネジャーのオフィスは、NSA の他の組織と協力して、サイバーセキュリティ・サプライチェーン・リスクマネジメント(C-SCRM)戦略の一環として、ソフトウェア部品表(SBOM)を管理するツールを研究し、テストした。本ガイダンスには、様々な SBOM 管理ツールの研究と評価から得られた SBOM 管理ツールの機能に関する重要な推奨事項が含まれている。 |
Fundamental to C-SCRM is leveraging a ‘list of [software] ingredients’ to understand and mitigate the cyber risks that software can pose to a user organization. SBOMs and SBOM management tools bridge this gap to support an improved cybersecurity posture. Specifically, users should leverage SBOMs, as part of a cybersecurity tool suite, to make: | C-SCRMの基本は、「(ソフトウェアの)成分リスト」を活用して、ソフトウェアがユーザー組織にもたらす可能性のあるサイバーリスクを理解し、軽減することである。SBOM と SBOM 管理ツールは、このギャップを埋め、サイバーセキュリティ態勢の改善を支援する。具体的には、ユーザはサイバーセキュリティ・ツール群の一部として SBOM を活用して、次のことを行うべきである: |
• Risk Management decisions about acquiring and deploying software, | • ソフトウェアの取得と展開に関するリスクマネジメントの決定、 |
• Vulnerability Management decisions about software deployment and ongoing operations, and | • ソフトウエアの展開と継続的な運用に関する脆弱性管理の決定、および |
• Incident Management decisions to detect and respond to new software vulnerabilities during vital operations. | • 重要な業務中に新たなソフトウェアの脆弱性を検知し対応するためのインシデント管理の決定。 |
This guidance can enable NSS software application owners and users to determine an appropriate management toolset that leverages SBOMs to achieve these tasks. | このガイダンスは、NSSソフトウェアアプリケーションの所有者とユーザーが、これらのタスクを達成するためにSBOMを活用する適切な管理ツールセットを決定することを可能にする。 |
目次...
Contents | 目次 |
Executive summary | 要旨 |
Introduction | 序文 |
Purpose and background | 目的と背景 |
Recommendations | 推奨事項 |
General recommendations for software suppliers | ソフトウェア・サプライヤーへの一般的な推奨事項 |
General recommendations for software consumers | ソフトウェア利用者に対する一般的な推奨事項 |
Specific guidance for NSS | NSSのための具体的なガイダンス |
Best practices | ベストプラクティス |
Recommended tool functionality | 推奨ツールの機能 |
SBOM input | SBOM入力 |
SBOM output | SBOM出力 |
Generating SBOMs | SBOMの生成 |
SBOM component handling | SBOMコンポーネントの取り扱い |
Validation of SBOM and SBOM component integrity | SBOMおよびSBOMコンポーネントの完全性の検証 |
Vulnerability tracking and analysis | 脆弱性の追跡と分析 |
Distinguishing identified vs. exploitable vulnerabilities | 識別された脆弱性と悪用可能な脆弱性の区別 |
User interface | ユーザーインターフェース |
Output forms and methods | 出力形式と方法 |
SBOM versioning and configuration management support | SBOMのバージョニングと構成管理のサポート |
Integration and workflow with other systems | 他のシステムとの統合とワークフロー |
Supporting access to data sources | データソースへのアクセスをサポートする |
Scalable architecture | スケーラブルなアーキテクチャ |
SBOM tool setup and configuration | SBOMツールのセットアップと構成 |
Works cited | 引用文献 |
● まるちゃんの情報セキュリティ気まぐれ日記
・2023.11.12 米国 NSA CISA ソフトウェアサプライチェーンの確保: ソフトウェア部品表の開示に関する推奨事項
・2023.11.09 米国 CISA 脆弱性悪用可能性交換情報の発行時期
・2023.10.18 Five Eyes、ドイツ、オランダ、ノルウェー、韓国、イスラエル、日本、シンガポール、チェコ他 セキュア・バイ・デザイン原則の改訂
・2023.09.26 米国 CISA サプライチェーンリスクマネジメント(SCRM)のためのハードウェア部品表フレームワーク(HBOM)
・2023.09.18 米国 CISA オープンソース・ソフトウェア・セキュリティ・ロードマップ
・2023.09.01 NIST SP 800-204D(初期公開ドラフト)DevSecOps CI/CDパイプラインにソフトウェアサプライチェーンセキュリティを統合するための戦略
・2023.08.15 ドイツ SBOMの要件...技術ガイドライン TR-03183:製造業者および製品に対するサイバーレジリエンス要件 (2023.08.04)
・2023.08.01 経済産業省 ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引
・2023.07.15 米国 ホワイトハウス サイバーセキュリティ戦略実施計画
・2023.07.07 総務省 「ICTサイバーセキュリティ総合対策2023」(案)に対する意見募集
・2023.07.03 OWASP SBOMガイダンス CycloneDX v1.5 (2023.06.23)
・2023.04.25 米国 CISA SBOM関連の二文書
・2023.04.18 国際医療機器規制当局フォーラム 「レガシー医療機器のサイバーセキュリティのための原則と慣行」「医療機器サイバーセキュリティのためのSBOMの原則と実践」 (2023.04.11, 04.13)
・2023.03.04 米国 国家サイバーセキュリティ戦略を発表
・2023.02.21 英国 NCSC サプライチェーン・マッピングのガイダンスを公表しています。。。(2023.02.16)
・2023.02.05 ソフトウェアサプライチェーンリスクの軽減策について...
・2022.11.12 NIST ホワイトペーパー【プロジェクト概要】ソフトウェアサプライチェーンとDevOpsのセキュリティ実践:リスクベースアプローチによるDevSecOpsの実践
・2022.10.06 米国 CISA 拘束的運用指令23-01 - 連邦ネットワークにおける資産の可視化と脆弱性検出の改善
・2022.09.18 米国 行政管理予算局 (0MB) ソフトウェアサプライチェーンのセキュリティ強化 を公表
・2022.07.26 NIST White Paper (Draft) [プロジェクト概要] ソフトウェアサプライチェーンとDevOpsセキュリティの実践:リスクベースアプローチによるDevSecOpsの実践
・2022.07.16 経済産業省 令和3年度委託調査報告書(サイバーセキュリティ関係) 2022.07.14現在
・2022.06.25 NIST SP 1800-34 (ドラフト) コンピューティングデバイスの完全性の検証
・2022.05.08 NIST SP 800-161 Rev. 1 システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践
・2022.02.06 NIST ホワイトペーパー: 大統領令14028条第4e項に基づくソフトウェア・サプライチェーン・セキュリティ・ガイダンス
・2021.12.13 Apache Log4j 2 の脆弱性 (CVE-2021-44228)+ ソフトウェアの管理 + 脆弱性情報の管理
・2021.11.22 英国 サプライチェーンとマネージドサービスプロバイダーのサイバーセキュリティについての質問に対する回答 at 2021.11.15
・2021.10.30 NIST SP 800-161 Rev. 1 (Draft) システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践(第2次ドラフト)
・2021.09.03 NIST SP 1800-34B (ドラフト) コンピューティングデバイスの完全性の検証(初期ドラフト)
・2021.06.27 NIST ソフトウェアサプライチェーンにおける「クリティカル・ソフトウェア」の定義:大統領令14028に応えて...
・2021.06.02 米国 国家のサイバーセキュリティ向上に関する大統領令 (EO 14028) に基づくソフトウェアサプライチェーン管理に関係して。。。
・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令
・2021.05.01 NIST SP 800-161 Rev. 1 (ドラフト) システムと組織のためのサイバー・サプライチェーン・リスク管理の実践
・2020.02.05 NISTがサプライチェーンセキュリティの実践資料のドラフトを公開していますね。。。
Comments