経済産業省 ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引ver2.0 (2024.08.29)
こんにちは、丸山満彦です。
経済産業省が、ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引ver2.0を公表していますね...昨年、2023.07.23に初版を公表して、2024.04.26にドラフトが意見募集され、その反映を受けて2024.08.29に確定していますね...
Ver1.0の内容に加えて、以下の内容を盛り込んでいるようですね...
PDFのページ数では167ページです...
(1)脆弱性管理プロセスの具体化(第7章)
SBOMを活用することで、ソフトウェアの脆弱性管理を通じた脆弱性リスクの低減が効果として見込まれていることから、SBOMを活用するプロセスの中でも、脆弱性管理に関するフェーズが特に重要です。本章では、ソフトウェアの脆弱性を管理する一連プロセスにおいてSBOMを効果的に活用するための具体的な手順と考え方をまとめることで、SBOM活用による効果を高めるための参考情報を提供しています。
(2)「SBOM対応モデル」の追加(8.付録)
本モデルでは、SBOM導入の効果及びコストを勘案して実際にSBOMを導入することが妥当な範囲を検討するためのフレームワークを示しています。当該フレームワークを用いることで、高度な管理を行えるソフトウェア、すなわちセキュアなソフトウェアが市場に適切に評価され、その流通が促進されることが期待できます。
(3)「SBOM取引モデル」の追加(9.付録)
本モデルでは、ソフトウェア部品の受発注において、調達者と供給者の間でSBOMに関して契約に規定すべき事項(要求事項、責任、コスト負担、権利等)について参考となる例を示しています。
実務に充てる影響が大きいと想定されるためか、意見も多く集まっているように思いました。意見の内容を読むと、ガイドの内容をより深く理解できるかもしれませんね...
● 経済産業省
・2024.08.29 サイバー攻撃への備えを!「SBOM」(ソフトウェア部品構成表)を活用してソフトウェアの脆弱性を管理する具体的手法についての改訂手引を策定しました
・[PDF] ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引ver2.0
目次...
1. 背景と目的
1.1. 背景
1.2. 目的
1.3. 主な対象読者
1.4. 主な対象ソフトウェア
1.5. 本書の構成と活用方法
1.6. 本手引のサマリー
2. SBOM の概要
2.1. SBOM とは
2.2. SBOM 導入のメリット
2.3. SBOM の「最小要素」
2.4. SBOM フォーマットの例
2.5. SBOM に関する誤解と事実
3. SBOM 導入に関する基本指針・全体像
3.1. SBOM 導入における基本指針
3.2. SBOM 導入プロセス
4. 環境構築・体制整備フェーズにおける実施事項・認識しておくべきポイント
4.1. SBOM 適用範囲の明確化
4.2. SBOM ツールの選定
4.3. SBOM ツールの導入・設定
4.4. SBOM ツールに関する学習
5. SBOM 作成・共有フェーズにおける実施事項・認識しておくべきポイント
5.1. コンポーネントの解析
5.2. SBOM の作成
5.3. SBOM の共有
6. SBOM 運用・管理フェーズにおける実施事項・認識しておくべきポイント
6.1. SBOM に基づく脆弱性管理、ライセンス管理等の実施
6.2. SBOM 情報の管理
7. 脆弱性管理プロセスの具体化
7.1. 目的
7.2. 脆弱性管理における課題・問題認識
7.3. プロセス全体像
7.4. 各フェーズの手順と方法
8. 付録:SBOM 対応モデル
8.1. 目的と背景
8.2. SBOM 可視化フレームワークと対応モデル
8.3. SBOM 対応モデルと活用方法
8.4. SBOM 対応モデルの参考例(自動車分野)
8.5. SBOM 対応モデルの参考例(ソフトウェア製品分野)
8.6. SBOM 対応モデルの参考例(医療機器分野)
8.7. SBOM 対応モデル(案)の分野横断比較
9. 付録:SBOM 取引モデル
9.1. 背景と目的(問題認識)
9.2. 概要
9.3. 取引モデルの考え方
9.4. SBOM 取引モデル
9.5. SBOM 対応モデルと SBOM 取引モデルの関係と位置づけ
9.6. 既存のモデル契約書との関係
9.7. 活用パターン
9.8. 課題と今後の検討の方向性
10. 付録:チェックリスト・用語集等
10.1. SBOM 導入に向けた実施事項チェックリスト
10.2. 用語集
10.3. 参考情報
・[PDF] ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引ver2.0概要資料
・[XLS] ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引ver2.0付録チェックリスト
● e-Gov
・2024.08.29 「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引ver2.0(案)」に対する意見募集の結果について
・[PDF] 意見募集で寄せられた御意見に対する考え方
● 経済産業省 - サイバー・フィジカル・セキュリティ確保に向けたソフトウェア管理手法等検討タスクフォース
Ver1.0からの議論
| 2024.08.21 | 第13回 | 資料1 議事次第・配布資料一覧 |
| 資料2 委員名簿 | ||
| 資料3 サイバー・フィジカル・セキュリティ確保に向けたソフトウェア管理手法等検討タスクフォースの検討の方向性 | ||
| 参考資料1 ソフトウェア管理に向けたSBOMの導入に関する手引ver2.0(案)」に対する意見募集で寄せられた御意見に対する考え方 | ||
| 参考資料2 ソフトウェア管理に向けたSBOMの導入に関する手引ver2.0(案) | ||
| 2024.02.28 | 第12回 | 資料1 議事次第・配布資料一覧 |
| 資料2 委員名簿 | ||
| 資料3 サイバー・フィジカル・セキュリティ確保に向けたソフトウェア管理手法等検討タスクフォースの検討の方向性 | ||
| 資料4 通信分野におけるSBOMの導入に向けた検討について | ||
| 参考資料 ソフトウェア管理に向けたSBOMの導入に関する手引Ver2.0(案) | ||
| 議事要旨 | ||
| 2023.10.31 | 第11回 | 資料1 議事次第・配布資料一覧 |
| 資料2 委員名簿 | ||
| 資料3 サイバー・フィジカル・セキュリティ確保に向けたソフトウェア管理手法等検討タスクフォースの検討の方向性 | ||
| 資料4 デジタル庁におけるTrustworthyなサービス実現のための取り組み | ||
| 議事要旨 | ||
| 2023.07.18 | 第10回 | |
| 2023.02.28 | 第9回 | |
| 2022.11.28 | 第8回 | |
| 2022.07.26 | 第7回 | |
| 2022.03.03 | 第6回 | |
| 2021.10.29 | 第5回 | |
| 2021.01.13 | 第4回 | |
| 2019.12.04 | 第3回 | |
| 2019.11.06 | 第2回 | |
| 2019.09.05 | 第1回 |
● まるちゃんの情報セキュリティ気まぐれ日記
SBOM関係...
・2024.05.26 中国 TC260 意見募集 国家標準「ネットワークセキュリティ技術ソフトウェア部品表 (SBOM) データフォーマット」案 (2024.05.16)
・2024.03.14 IPA NIST SP 800-161 rev.1 システム及び組織におけるサプライチェーンのサイバーセキュリティリスクマネジメントのプラクティスの翻訳 (2024.01.31)
・2024.01.08 米国 NSA SBOM管理のための推奨事項 (Ver. 1.1)
・2023.11.12 米国 NSA CISA ソフトウェアサプライチェーンの確保: ソフトウェア部品表の開示に関する推奨事項
・2023.11.09 米国 CISA 脆弱性悪用可能性交換情報の発行時期
・2023.09.26 米国 CISA サプライチェーンリスクマネジメント(SCRM)のためのハードウェア部品表フレームワーク(HBOM)
・2023.09.18 米国 CISA オープンソース・ソフトウェア・セキュリティ・ロードマップ
・2023.09.01 NIST SP 800-204D(初期公開ドラフト)DevSecOps CI/CDパイプラインにソフトウェアサプライチェーンセキュリティを統合するための戦略
・2023.08.15 ドイツ SBOMの要件...技術ガイドライン TR-03183:製造業者および製品に対するサイバーレジリエンス要件 (2023.08.04)
・2023.08.01 経済産業省 ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引
・2023.07.03 OWASP SBOMガイダンス CycloneDX v1.5 (2023.06.23)
・2023.04.25 米国 CISA SBOM関連の二文書
・2023.04.18 国際医療機器規制当局フォーラム 「レガシー医療機器のサイバーセキュリティのための原則と慣行」「医療機器サイバーセキュリティのためのSBOMの原則と実践」 (2023.04.11, 04.13)
・2023.02.21 英国 NCSC サプライチェーン・マッピングのガイダンスを公表しています。。。(2023.02.16)
・2023.02.05 ソフトウェアサプライチェーンリスクの軽減策について...
・2022.11.12 NIST ホワイトペーパー【プロジェクト概要】ソフトウェアサプライチェーンとDevOpsのセキュリティ実践:リスクベースアプローチによるDevSecOpsの実践
・2022.10.06 米国 CISA 拘束的運用指令23-01 - 連邦ネットワークにおける資産の可視化と脆弱性検出の改善
・2022.09.18 米国 行政管理予算局 (0MB) ソフトウェアサプライチェーンのセキュリティ強化 を公表
・2022.07.26 NIST White Paper (Draft) [プロジェクト概要] ソフトウェアサプライチェーンとDevOpsセキュリティの実践:リスクベースアプローチによるDevSecOpsの実践
・2022.07.16 経済産業省 令和3年度委託調査報告書(サイバーセキュリティ関係) 2022.07.14現在
・2022.06.25 NIST SP 1800-34 (ドラフト) コンピューティングデバイスの完全性の検証
・2022.05.08 NIST SP 800-161 Rev. 1 システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践
・2022.02.06 NIST ホワイトペーパー: 大統領令14028条第4e項に基づくソフトウェア・サプライチェーン・セキュリティ・ガイダンス
・2021.12.13 Apache Log4j 2 の脆弱性 (CVE-2021-44228)+ ソフトウェアの管理 + 脆弱性情報の管理
・2021.11.22 英国 サプライチェーンとマネージドサービスプロバイダーのサイバーセキュリティについての質問に対する回答 at 2021.11.15
・2021.10.30 NIST SP 800-161 Rev. 1 (Draft) システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践(第2次ドラフト)
・2021.09.03 NIST SP 1800-34B (ドラフト) コンピューティングデバイスの完全性の検証(初期ドラフト)
・2021.06.27 NIST ソフトウェアサプライチェーンにおける「クリティカル・ソフトウェア」の定義:大統領令14028に応えて...
・2021.06.02 米国 国家のサイバーセキュリティ向上に関する大統領令 (EO 14028) に基づくソフトウェアサプライチェーン管理に関係して。。。
・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令
・2021.05.01 NIST SP 800-161 Rev. 1 (ドラフト) システムと組織のためのサイバー・サプライチェーン・リスク管理の実践
・2020.02.05 NISTがサプライチェーンセキュリティの実践資料のドラフトを公開していますね。。。
« 中国 2025年までにIoT分野で30以上の新しい国家標準と業界標準を開発する見込み | Main | 米国 CISA FBI MS-ISAC HHS RansomHubランサムウェアに対する警告 (2024.08.29) »
Comments