US Government Issues Guidance on SBOM Consumption
2023/11/10 SecurityWeek — 11月9日に、米国のサイバーセキュリティ機関である CISA/NSA/ODNI (Office of the Director of National Intelligence) は、ソフトウェアベンダーとサプライヤー向けに、ソフトウェアのサプライチェーンを保護するための新しいガイダンスを公開した。このガイダンスでは、組織が OSS (Open Source Software) や SBOM (Software Bills of Materials) の管理を含め、ソフトウェアのライフサイクル全体を通して自社のセキュリティ対策を評価するのに役立ち、ソフトウェア・サプライチェーンのあらゆる段階にわたって適用できる推奨事項が提示されている。
この新しいガイドラインの主目的は、開発/生産/流通/管理プロセスのレジリエンス (回復力) を向上させることだ。約1年前に CISA/NSA/ODNI は、ソフトウェア開発者/サプライヤー/顧客がサプライチェーンを安全にするための方策について、3部構成の共同ガイダンスを発表している。
これらの3機関は、「すべての組織に対して、安全なソフトウェア開発の実践を進化させるための一環として、リスクの積極的な管理および軽減が奨励される。ソフトウェア・サプライチェーンのライフサイクルにおける、ソフトウェアの開発者/サプライヤー/顧客としての組織の役割は、その形態と範囲を決定し続けるだろう」と指摘している。
同ドキュメントで提供されるのは、SBOM 処理の実装/特定された脆弱性のリスク評価/脆弱性の悪用を回避するための具体的な手順/更新されたソフトウェアに対する新しい SBOM の要求/SBOM の効率的な消費に関して、組織が取るべき行動のガイダンスである。
このガイダンスによると、SBOM はソフトウェア・セキュリティとソフトウェア・サプライチェーンのリスク管理の中心的な構成要素であり、その価値と範囲を拡大し、タイムリーな行動を可能にするリスクスコアを作成するために、他のデータと相関させることができるという。
このドキュメントには、「SBOM は、ソフトウェアの内容に関する情報を提供するものだ。ソフトウェアのユーザーは、サプライヤーが品質の高い SBOM を提供できると知るだけで、そのサプライヤーがサプライチェーン上の懸念に対応できる可能性が高いという、一定の信頼を得ることができる」と記されている。
SBOM の利点は、ソフトウェアが最新であることの提示/オープンソース・ソフトウェアの使用に関する情報の提供/コンプライアンスの確保/脆弱性が特定された場合の流出の危険性軽減などに役立つ、非常に重要なものである。
CISA/NSA/ODNI が指摘しているのは、それぞれ組織が抱えるリスクを理解するために何千もの SBOM を利用する必要性であり、また、SBOM の可能性を十分に活用するために必要な、自動化された SBOM の処理/分析/相関関係/SBOM データをセキュリティ・インテリジェンスの重要性である。
このガイダンスには、「SBOM から得られるデータは、調達/資産管理/脆弱性管理/包括的なサプライチェーン・リスク管理/コンプライアンス機能などの、多くの企業のワークフローに組み込まれている。したがって SBOM は、多くの場合において、ファイルとしての有用性よりも、解析/抽出/自動プロセスへのロードが可能な、データ・コレクションとしての有用性が高くなる」と記されている。
CISA を含む3つの組織が共同で、SBOM/OSS などの管理ガイダンスを発表しました。以前にも、2023/06/20 の「SBOM Lifecycle:CISA が分析する発見/アクセス/転送の各フェーズとは?」で、ライフサイクルが取り上げられていましたが、今回はオープンソースが取り込まれています。関連記事としては、2023/09/13 の「CISA がオープンソース保護を本格化:セキュリティ・ロードマップを発表」がありますので、よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.