ドイツ 連邦セキュリティ室 (BSI) 意見募集 TR-03183: 製造者及び製品に対するサイバーレジリエンス要件(一般要求事項、SBOM、脆弱性報告)
こんにちは、丸山満彦です。
ドイツの連邦セキュリティ室 (BSI)が、TR-03183: 製造者及び製品に対するサイバーレジリエンス要件についての3つのガイダンス(一般要求事項、SBOM、脆弱性報告)についての意見募集をしていますね...
● Bundesamt für Sicherheit in der Informationstechnik; BSI
BSI TR-03183: Cyber Resilience Requirements for Manufacturers and Products | BSI TR-03183: 製造者及び製品に対するサイバーレジリエンス要件 |
The Technical Guideline TR-03183: Cyber Resilience Requirements for Manufacturers and Products aims to provide manufacturers with advance access to the type of requirements that will be imposed on them by the future Cyber Resilience Act (CRA) of the EU. The CRA was published as a draft in September 2022 and is currently a matter of the legislative process. Following possible changes to the final legal text, the Technical Guideline may be adapted. | 技術ガイドライン TR-03183: 製造者および製品に対するサイバーレジリエンス要件は、将来EUで制定されるサイバーレジリエンス法(CRA)によって製造者に課されることになる要件の種類への事前アクセスを提供することを目的としている。CRAは2022年9月にドラフトとして公表され、現在は立法過程にある。最終的な法文が変更される可能性があるため、本技術ガイドラインも変更される可能性がある。 |
Part 1 "General Requirements" describes requirements for Manufacturers and Products on the basis of the articles and annexes of the CRA. | 第1部「一般要求事項」は、CRA の条項および附属書に基づいて、製造者および製品に対す る要求事項を記述している。 |
Part 2 "Software Bill of Materials (SBOM)" describes formal and technical requirements for Software Bill of Materials (SBOM) | 第2部「ソフトウェア部品表(SBOM)」は、ソフトウェア部品表(SBOM)の形式的及び技術的要求事項を記述している。 |
Part 3 “Vulnerability Reports and Notifications” describes the handling of incoming vulnerability reports. | 第3部「脆弱性報告及び通知」では、受領した脆弱性報告の取り扱いについて記述している。 |
一般要求事項
1 Introduction | 1. はじめに |
1.1 Important Note | 1.1 重要な注意事項 |
2 Requirements Language | 2. 要求言語 |
3 Basics | 3. 基本事項 |
3.1 Security objectives and scope | 3.1 セキュリティの目的と範囲 |
3.2 Roles | 3.2 役割 |
3.3 Conformity Assessment | 3.3 適合性評価 |
4 Risk assessment | 4 リスク評価 |
4.1 Important Note | 4.1 重要な注意事項 |
4.2 REQ_RA 1 – Risk assessment | 4.2 REQ_RA 1 - リスクアセスメント |
5 Security requirements | 5. セキュリティ要件 |
5.1 Important Note | 5.1 重要な注意事項 |
5.2 Application Guidance | 5.2 適用ガイダンス |
5.3 Essential requirements related to product properties | 5.3 製品特性に関連する必須要件 |
5.4 Essential requirements related to vulnerability handling | 5.4 脆弱性の取り扱いに関する必須要件 |
6 Documentation obligations | 6 文書作成義務 |
6.1 Technical documentation | 6.1 技術文書 |
6.2 User Documentation | 6.2 ユーザ文書 |
7 Annex | 7 附属書 |
SBOM
1 Introduction | 1 はじめに |
2 Requirements Language | 2 要求言語 |
3 Basics | 3 基本 |
3.1 Definition of SBOM | 3.1 SBOMの定義 |
3.2 Terms used | 3.2 使用される用語 |
4 SBOM formats | 4 SBOMフォーマット |
5 Content requirements | 5 コンテンツの要件 |
5.1 Level of detail | 5.1 詳細レベル |
5.2 Required data fields | 5.2 必須データ・フィールド |
5.3 Additional data fields | 5.3 追加データフィールド |
5.4 Optional data fields | 5.4 オプションのデータフィールド |
6 Express specifications | 6 エクスプレス仕様 |
6.1 Licence identifiers and expressions | 6.1 ライセンスの識別子と表現 |
7 Transitional system | 7 移行システム |
8 Annex | 8. 附属書 |
8.1 Explanations | 8.1 説明 |
8.2 Level of detail of an SBOM | 8.2 SBOMの詳細レベル |
8.3 SBOM classification | 8.3 SBOMの分類 |
8.4 Further information | 8.4 詳細情報 |
脆弱性報告
1 Introduction | 1 はじめに |
2 Requirements Language | 2 要求言語 |
3 Basics | 3 基本 |
3.1 Terms used | 3.1 使用される用語 |
4 Cybersecurity requirements for receiving vulnerability reports | 4 脆弱性報告を受けるためのサイバーセキュリティ要件 |
4.1 Security.txt file in accordance with RFC 9116 | 4.1 RFC 9116に準拠したSecurity.txtファイル |
4.2 Preliminary measures for a CVD process | 4.2 CVDプロセスの予備的対策 |
4.3 CVD policy | 4.3 CVD政策 |
4.4 Web page for incoming vulnerability reports | 4.4 脆弱性報告の受信用ウェブページ |
5 Annex | 5 附属書 |
5.1 Further information | 5.1 更なる情報 |
● まるちゃんの情報セキュリティ気まぐれ日記
サイバーレジリエンス法、セッキュリティ認証...
・2024.10.12 欧州理事会 サイバーレジリエンス法を採択 (2024.10.10)
・2024.03.19 欧州議会 AI法 (2024.03.13) とサイバーレジリエンス法を採択 (2024.03.12)
・2024.02.02 欧州委員会 サイバーセキュリティ認証制度 (EUCC) を採択
・2024.01.17 欧州 欧州議会の投票にかけられるサイバーレジリエンス法案 (Cyber Resilience Act)
・2023.12.04 欧州理事会、欧州議会がサイバーレジリエンス法について政治的合意
・2023.05.31 ENISA 新技術に対応したEUサイバーセキュリティ認証の実現可能性を探る
・2023.03.21 ENISA サイバーセキュリティ認証のウェブページを開設
・2023.03.01 IPA 欧州規格 ETSI EN 303 645 V2.1.1 (2020-06)の翻訳の公開
・2023.02.02 ドイツ スペースネットAG社のサービスにITセキュリティラベルを渡す
・2022.12.15 ドイツ フランス IT製品のセキュリティ認証に関する共同文書を発行 (固定時間制認証制度)
・2022.10.31 ドイツ シンガポール 消費者向けIoT製品のサイバーセキュリティ・ラベルの相互承認 (2022.10.20)
・2022.05.09 ドイツ ITセキュリティラベル for 消費者向けスマート製品
・2022.02.03 ドイツ BSI Mail.deの電子メールサービスにITセキュリティラベルを付与
・2021.07.18 独国 BSIがITセキュリティラベルについてのウェブページを公開していますね。。。
SBOMなど...
・2024.09.01 経済産業省 ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引ver2.0 (2024.08.29)
・2024.05.26 中国 TC260 意見募集 国家標準「ネットワークセキュリティ技術ソフトウェア部品表 (SBOM) データフォーマット」案 (2024.05.16)
・2024.03.14 IPA NIST SP 800-161 rev.1 システム及び組織におけるサプライチェーンのサイバーセキュリティリスクマネジメントのプラクティスの翻訳 (2024.01.31)
・2024.01.08 米国 NSA SBOM管理のための推奨事項 (Ver. 1.1)
・2023.11.12 米国 NSA CISA ソフトウェアサプライチェーンの確保: ソフトウェア部品表の開示に関する推奨事項
・2023.11.09 米国 CISA 脆弱性悪用可能性交換情報の発行時期
・2023.09.26 米国 CISA サプライチェーンリスクマネジメント(SCRM)のためのハードウェア部品表フレームワーク(HBOM)
・2023.09.18 米国 CISA オープンソース・ソフトウェア・セキュリティ・ロードマップ
・2023.09.01 NIST SP 800-204D(初期公開ドラフト)DevSecOps CI/CDパイプラインにソフトウェアサプライチェーンセキュリティを統合するための戦略
・2023.08.15 ドイツ SBOMの要件...技術ガイドライン TR-03183:製造業者および製品に対するサイバーレジリエンス要件 (2023.08.04)
・2023.08.01 経済産業省 ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引
・2023.07.03 OWASP SBOMガイダンス CycloneDX v1.5 (2023.06.23)
・2023.04.25 米国 CISA SBOM関連の二文書
・2023.04.18 国際医療機器規制当局フォーラム 「レガシー医療機器のサイバーセキュリティのための原則と慣行」「医療機器サイバーセキュリティのためのSBOMの原則と実践」 (2023.04.11, 04.13)
・2023.02.21 英国 NCSC サプライチェーン・マッピングのガイダンスを公表しています。。。(2023.02.16)
・2023.02.05 ソフトウェアサプライチェーンリスクの軽減策について...
・2022.11.12 NIST ホワイトペーパー【プロジェクト概要】ソフトウェアサプライチェーンとDevOpsのセキュリティ実践:リスクベースアプローチによるDevSecOpsの実践
・2022.10.06 米国 CISA 拘束的運用指令23-01 - 連邦ネットワークにおける資産の可視化と脆弱性検出の改善
・2022.09.18 米国 行政管理予算局 (0MB) ソフトウェアサプライチェーンのセキュリティ強化 を公表
・2022.07.26 NIST White Paper (Draft) [プロジェクト概要] ソフトウェアサプライチェーンとDevOpsセキュリティの実践:リスクベースアプローチによるDevSecOpsの実践
・2022.07.16 経済産業省 令和3年度委託調査報告書(サイバーセキュリティ関係) 2022.07.14現在
・2022.06.25 NIST SP 1800-34 (ドラフト) コンピューティングデバイスの完全性の検証
・2022.05.08 NIST SP 800-161 Rev. 1 システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践
・2022.02.06 NIST ホワイトペーパー: 大統領令14028条第4e項に基づくソフトウェア・サプライチェーン・セキュリティ・ガイダンス
・2021.12.13 Apache Log4j 2 の脆弱性 (CVE-2021-44228)+ ソフトウェアの管理 + 脆弱性情報の管理
・2021.11.22 英国 サプライチェーンとマネージドサービスプロバイダーのサイバーセキュリティについての質問に対する回答 at 2021.11.15
・2021.10.30 NIST SP 800-161 Rev. 1 (Draft) システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践(第2次ドラフト)
・2021.09.03 NIST SP 1800-34B (ドラフト) コンピューティングデバイスの完全性の検証(初期ドラフト)
・2021.06.27 NIST ソフトウェアサプライチェーンにおける「クリティカル・ソフトウェア」の定義:大統領令14028に応えて...
・2021.06.02 米国 国家のサイバーセキュリティ向上に関する大統領令 (EO 14028) に基づくソフトウェアサプライチェーン管理に関係して。。。
・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令
・2021.05.01 NIST SP 800-161 Rev. 1 (ドラフト) システムと組織のためのサイバー・サプライチェーン・リスク管理の実践
・2020.02.05 NISTがサプライチェーンセキュリティの実践資料のドラフトを公開していますね。。。
Comments