23年3月末から勉強時間をガイドライン類の読み込み&ブログ執筆にあてて7カ月が経ちました。 特に良い区切りでもないのですが、ここらで一度振り返りたいと思います。 なんで読み始めたの? どれだけ何を読んだの? 色々読んでどうだった? 1. 自分の発言に根拠と自信を持てる 2. 未経験の技術テーマでも取り扱いやすくなる 3.トレンドやビッグテーマが分かる おすすめのガイドライン類は? なんで読み始めたの? 今更の自己紹介ですが、私は所属組織の中で3 Line of Defenseにおける2nd Lineにおり、セキュリティの戦略立案、強化施策の推進、あるいは新しい技術を利用する際のルール作りを主に担っています。 プログラム開発、サーバ、ネットワーク、クラウド、API、コンテナ、AI、様々な技術テーマがある中で、そのすべてにセキュリティは強く関わります。そして、セキュリティ担当は、現場から上記の
.app 1 .dev 1 #11WeeksOfAndroid 13 #11WeeksOfAndroid Android TV 1 #Android11 3 #DevFest16 1 #DevFest17 1 #DevFest18 1 #DevFest19 1 #DevFest20 1 #DevFest21 1 #DevFest22 1 #DevFest23 1 #hack4jp 3 11 weeks of Android 2 A MESSAGE FROM OUR CEO 1 A/B Testing 1 A4A 4 Accelerator 6 Accessibility 1 accuracy 1 Actions on Google 16 Activation Atlas 1 address validation API 1 Addy Osmani 1 ADK 2 AdMob 32 Ads
経済産業省、「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引」公開。環境構築、SBOM作成、運用管理など解説
経済産業省は「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引」を策定し公開したことを明らかにしました。 SBOMは日本語では「ソフトウェア部品表」とされます。あるソフトウェアがどのようなソフトウェア部品によって構成されているのかを示す情報がまとまったデータのことです。 ほとんどのソフトウェアは単独で成立しているわけではなく、オープンソースを始めとする多数のライブラリやコンポーネントなどのソフトウェア部品に依存しています。そのなかのいずれかに脆弱性が発見されればドミノ倒しのように他のさまざまなソフトウェアに影響することは必至です。 例えば2021年末に発覚したJavaライブラリ「Log4j」の脆弱性は、非常に幅広いJavaのソフトウェアに深刻な影響を与えました。 多くの産業や社会インフラにおいてソフトウェアの存在が欠かせなくなってい
ドイツの州、3万台の自治体PCを「Linux」「LibreOffice」に移行すると発表:欧州委員会のGDPR違反も影響か The Document Foundationが指摘 ドイツ北部のシュレースヴィヒ=ホルシュタイン州は、自治体のPC3万台で使用しているWindowsとMicrosoft OfficeをLinuxとLibreOfficeに移行すると発表した。LibreOfficeの開発元であるThe Document Foundationは、同州が移行を決めた背景として「欧州委員会のGDPR違反」を挙げている。 ドイツ北部のシュレースヴィヒ=ホルシュタイン州は2024年4月4日(ドイツ時間)、自治体のPC3万台で使用しているWindowsとMicrosoft OfficeをLinuxとLibreOffice(およびその他のフリーオープンソースソフトウェア〈FOSS〉)に移行すると発表
xzの脆弱性(バックドア埋め込み: Critical: CVE-2024-3094) - SIOS SECURITY BLOG
03/29/2024にxzの脆弱性(バックドア埋め込み: Critical: CVE-2024-3094)が公開されました。Fedora Linux 40beta, Fedora rawhide, Debian unstable等の一部のOpenSSHにも使われており、バックドアを利用してログインが出来る状態だったという話も出ています。ソフトウェアサプライチェーン攻撃の一つとも捉えられており、いずれSBOMと関係する話として取り上げられると思います。 (SBOMの話、VEXの話はこちら)。 今回はこちらの脆弱性の概要と、各ディストリビューションの対応について纏めます。 【04/01/2024 09:45更新】情報が纏まっているサイトを更新しました。また、piyologさんからリンクを貼っていただいていたので、こちらも載せています。その他、「xz –version」を実行するのもだめという話
はじめに こんにちは。先日、社内にてSBOMに関する勉強会を行いました。この記事では、そこで学んだことを解説していきたいと思います。 具体的な内容は以下の通りです。 SBOMとは何か SBOMを導入するとどんなメリットがあるか SBOMを導入するにはどんなことに気を付けて何をすれば良いか SBOMにはどんな種類があるのか 特に、SBOMに興味はあるけど具体的に何していいかわからない、という方に参考になると思っています。少々長いですが、最後まで読んでいただけると嬉しいです。 それでは、順番に説明していきます。 SBOMとは SBOMとは、ソフトウェア部品表(Software Bill of Materials)、つまり、ソフトウェアコンポーネントやそれらの依存関係の情報も含めた機械処理可能な一覧リストのことです。 ソフトウェアに含まれるコンポーネントの名称やバージョン情報、コンポーネントの開
Javaのネイティブバイナリ生成可能なGraalVMの全機能が無料に、最適化コンパイラやG1ガベージコレクションを含む。本番環境でも利用可能
Javaのネイティブバイナリ生成可能なGraalVMの全機能が無料に、最適化コンパイラやG1ガベージコレクションを含む。本番環境でも利用可能 オラクルは、同社がJavaディストリビューションとして提供しているGraalVMの新ライセンス「GraalVM Free Terms and Conditions」(GFTC)を発表し、あわせてこれまで有償版のGraalVMに含まれていた全ての機能を含む新ディストリビューション「Oracle GraalVM」の提供を開始しました。 GFTCでは、これまで有償版のGraalVMで提供してきた最適化コンパイラやG1ガベージコレクションなどを含むすべての機能が無料で利用可能となり、本番環境での利用も許諾されます。 Introducing a new distribution — Oracle @GraalVM! Use all the greatest G
こんにちは。サービス開発室の武田です。このエントリは、2018年から毎年公開しているAWS全サービスまとめの2024年版です。 こんにちは。サービス開発室の武田です。 このエントリは、2018年から毎年公開している AWS全サービスまとめの2024年版 です。昨年までのものは次のリンクからたどってください。 AWSにはたくさんのサービスがありますが、「結局このサービスってなんなの?」という疑問を自分なりに理解するためにまとめました。 今回もマネジメントコンソールを開き、「サービス」の一覧をもとに一覧化しました。そのため、プレビュー版など一覧に載っていないサービスは含まれていません。また2023年にまとめたもののアップデート版ということで、新しくカテゴリに追加されたサービスには[New]、文章を更新したものには[Update]を付けました。ちなみにサービス数は 247個 です。 まとめるにあ
「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引」を策定しました (METI/経済産業省)
【2023年7月28日発表資料差し替え】「ソフトウェア管理に向けたSBOMの導入に関する手引きVer1.0」に関して、ページ番号の記載がなかったため追記しました。 経済産業省は、ソフトウェアサプライチェーンが複雑化する中で、急激に脅威が増しているソフトウェアのセキュリティを確保するための管理手法の一つとして「SBOM」(ソフトウェア部品表)に着目し、企業による利活用を推進するための検討を進めてきました。今般、主にソフトウェアサプライヤー向けに、SBOMを導入するメリットや実際に導入するにあたって認識・実施すべきポイントをまとめた手引書を策定しましたのでお知らせします。 本手引の普及により企業におけるSBOMの導入が進むことで、ソフトウェアの脆弱性への対応に係る初動期間の短縮や管理コストの低減など、ソフトウェアの適切な管理が可能となり、企業における開発生産性が向上するだけでなく、産業界におけ
近年、ソフトウェアの脆弱性やマルウェアの台頭で、ソフトウェアのバージョン管理や脆弱性管理などの重要度が日に日に増しています。SBOMはソフトウェアの部品構成表ですが、構成情報の透明性を高めることでライセンス管理や脆弱性対応への活用が期待されます。 ここでは、経済産業省サイバーセキュリティ課の飯塚智氏が、三菱総研と日立ソリューションズとともに作った『ソフトウェア管理に向けたSBOMの導入に関する手引』の概要について、1章〜3章の「背景と目的」「SBOMの概要」「SBOM導入に関する基本指針・全体像」を中心に解説します。 SBOM導入手引きの前半の1章から3章までを解説 渡邊歩氏(以下、渡邊):飯塚さん、ご講演をお願いいたします。 飯塚智氏(以下、飯塚):みなさま、お忙しいところご参加いただきましてありがとうございます。あらためまして、私、経済産業省サイバーセキュリティ課の飯塚と申します。 本
企業向けLinuxとして幅広く採用されている「CentOS Linux」(CentOS)。現在サポートされている「CentOS Linux 7」のサポートが2024年6月30日に終了(EOL)するため、CentOSを使い続けるか移行先はどうするかと頭を悩ませている担当者も多いだろう。そんな中、Red Hat Enterprise Linux(RHEL)互換のOSである「AlmaLinux」と「MIRACLE LINUX」の合流が注目を集めている。 コミュニティーベースで開発されているAlmaLinuxとサイバートラストが提供するMIRACLE LINUXの合流はユーザーにどんなメリットをもたらすのか。 日本ユーザーにより安心になった AlmaLinux サイバートラストの合流でAlmaLinuxがどう変わるのか。ポイントは3つある。 1つ目は、MIRACLE LINUXを20年以上提供して
ソフトウェア開発におけるサプライチェーンセキュリティの実践 - NTT Communications Engineers' Blog
この記事は NTTコミュニケーションズ Advent Calendar 2023 の14日目の記事です。 こんにちは、イノベーションセンター所属の志村です。 Metemcyberプロジェクトで脅威インテリジェンスに関する内製開発や、Network Analytics for Security (以下、NA4Sec)プロジェクトで攻撃インフラの解明・撲滅に関する技術開発を担当しています。 ソフトウェア開発プロセスにおけるセキュリティに関心が高まりつつあり、サプライチェーンセキュリティという言葉も広く使われるようになってきました。 またMetemcyberプロジェクトではSBOMに関する取り組みを行っていますが、SBOMもサプライチェーンセキュリティの分野での活用が期待されている概念となります。 そこで本記事ではサプライチェーンセキュリティとはそもそも何か、具体的にどのような対策が存在するのか
trivyとGithub Actionsを使用しTerraform設定ファイルのセキュリティスキャンを実行する仕組みを作りました - コネヒト開発者ブログ
この記事はコネヒトアドベントカレンダー21日目の記事です。 コネヒト Advent Calendar 2023って? コネヒトのエンジニアやデザイナーやPdMがお送りするアドベント カレンダーです。 コネヒトは「家族像」というテーマを取りまく様々な課題の解決を 目指す会社で、 ママの一歩を支えるアプリ「ママリ」などを 運営しています。 adventar.org はじめに コネヒトのプラットフォームグループでインフラ関連を担当している@yosshiです。 今年の7月に入社してから早いもので半年が経ちました。時が経つのは本当に早いですね。 今回のブログでは、セキュリティスキャンツールであるtrivyを使って、自動的にIaC (Infrastructure as Code)スキャンを実行する仕組みを構築した話をしたいと思います。 弊社ではインフラ構成をTerraform利用して管理するようにして
「ライセンス管理や脆弱性の管理はソフトウエアの中身が分からないとできない。SBOM(Software Bill of Materials、エスボム)利用の目的を明確にして、サプライチェーンの企業に提出を依頼している」――。トヨタ自動車の担当者はこう語る。「(ソフトウエア部品情報の)伝言ゲームを効率的に正確に行うためのツールとしてSBOMがある」(同担当者)。 SBOMに取り組むのはトヨタだけではない。ルネサスエレクトロニクスやキヤノンも力を入れている。キヤノングループでは医療機器の開発などを手掛けるキヤノンメディカルシステムズも取り組みを進めており、現在生産している約2000の製品群でSBOMをつくれる環境を整えた。IT業界では野村総合研究所(NRI)が、Javaによるシステム開発を支援するフレームワーク「ObjectWorks X」で利用するソフトウエアのSBOMを提供し始めた。 SBO
記事一覧 - 2LoD.sec
これまでの記事の一覧です。 複数回に分けた記事は「その1」へのリンクのみ貼ります。 このブログの説明はこちら 2023年10月12日以前の記事はnoteへジャンプします。 ガイドライン・ベストプラクティス類 そもそもセキュリティ何すればいいの? サイバーセキュリティ経営ガイドライン v3.0 NIST CSF 2.0 NIST SP800-53 rev.5, 53B DX時代における企業のプライバシーガバナンスガイドブックver1.3 ゼロトラストについて学びたい OMB M-22-09 米国政府のゼロトラスト・サイバーセキュリティ原則への移行 Zero Trust Maturity Model 国家や政府のセキュリティについて学びたい サイバーセキュリティ2023 EO14028 「国家のサイバーセキュリティの向上に関する大統領令」 米国 国家サイバーセキュリティ戦略 NATIONAL
日立ソリューションズは2023年12月13日、ソフトウェア部品表(以下、SBOM)を一元管理し、各種リスクの検知と対応、ベストプラクティスの適用や情報分析・活用を実現するプラットフォーム「SBOM管理サービス」の販売を開始した。 同社は2023年12月12日に記者発表会を開催し、SBOMが注目を集める背景や国内外の動向、SBOM管理サービスの概要や詳細について説明した。 OSSを使うならSBOM対応は欠かせないものになる 自動車や通信、医療、社会インフラなどさまざまな業界の製品自動車や通信、医療、社会インフラなどさまざまな業界の製品・サービス開発において、利便性の高いオープンソースソフトウェア(OSS)は欠かせないものになっている。 日立ソリューションズの渡邊 歩氏(ITプラットフォーム事業部 デジタルアクセラレーション本部 シニアOSSスペシャリスト)は「今や1つの製品で数百~数万個のO
「Black Hatに採択される」という大きな目標を達成したセキュリティ研究者が次に目指したのは現場への貢献 - Findy Engineer Lab
はじめまして、中島明日香(@AsuNa_jp)です! 私は14歳の頃にハッカーに憧れてセキュリティの世界に飛び込んで以来、セキュリティひと筋なキャリアを歩んできました。大学でセキュリティを学び、卒業後も研究開発者として10年以上さまざまなセキュリティの研究開発に携わってきました。 本記事では、私自身のキャリアの歩みについて紹介します。今までどのような仕事に携わってきたかだけでなく、大学卒業時の就職や一昨年に経験した転職など、キャリアの節目においてどのように考え、選択してきたのかについても触れています。 私のこれまでの歩みが、皆様が自分らしいキャリアを歩む参考になればたいへん嬉(うれ)しく思います。 ▲ Black Hat Asia 2023のロックノート(閉会時基調講演)となるパネルセッションに登壇する筆者(左から2人目) ハッカーに憧れてセキュリティの世界に飛び込む 「世界を広く良くした
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます セキュリティ分野に新しい言葉「ASPM」が出現した。これを提唱するベンダーはまだ数社しかなく、その1つというSnykで製品開発部門のバイスプレジデントを務めるRavi Maira氏が内容や意義などを解説してくれた。 ASPMは、正しくは「Application Security Posture Management」(アプリケーションセキュリティ体制管理)という。Maira氏は、「ASPMは、まだ生まれて1年ほどに過ぎない。Gartnerが最近ASPMのカテゴリーを定義したばかりだ」と話す。 そのGartnerが2023年5月に公開したレポートの概要によると、現在ASPMを導入しているエンタープライズ企業は5%になる。また、Snyk自体
[新サービス多数] AWS re:Inforce 2023 CJ Moses キーノート レポート #AWSreInforce | DevelopersIO
[新サービス多数] AWS re:Inforce 2023 CJ Moses キーノート レポート #AWSreInforce こんにちは、菊池です。 今回はアメリカ、アナハイムで開催中のAWSのセキュリティカンファレンスである、AWS re:Inforce 2023に参加しています。 Watch re:Inforce online この記事は、AWSのCISOであるCJ Mosesによるキーノートのセッションレポートです。 セッション概要(公式より引用) Join CJ Moses, Chief Information Security Office (CISO) for AWS, as he shares how to accelerate innovation and how you can scale your security practices with the most se
![[新サービス多数] AWS re:Inforce 2023 CJ Moses キーノート レポート #AWSreInforce | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/a35f5f656f7b0a0cf51a3e1efc6346ece930ced8/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2023%2F06%2Freinforce-2023-kn-001.png)
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます NTTら国内外の情報通信およびIT系10社が2月16日、サプライチェーンセキュリティを推進する新団体「セキュリティ・トランスペアレンシー・コンソーシアム」を設立したと発表した。製品やシステム、サービスなどを「つくる側(開発や構築、提供)」が作成・提供した可視化データを利用する際に直面する問題について「つかう側(ユーザー)」からとりまとめ、その問題解決に取り組むという。 新団体には、アラクサラネットワークス、NRIセキュアテクノロジーズ、NTTデータグループ、FFRIセキュリティ、シスコシステムズ、東京エレクトロン、NEC、NTT、日立製作所、 三菱電機が参加する。またNTTでは、グループ企業のNTT東西、NTTドコモ、NTTコミュニケー
突然ですが、今回は中途採用の面接官目線の話を書きます。 私は事業会社のセキュリティマネージャとして新しい仲間を増やすべく、どうすればより良い採用に繋げられるのか日々めちゃくちゃ悩んで試行錯誤しています。 この記事を書くにあたり、人事や採用のプロが指南する「面接の掘り下げ方」系の情報を調べました。 その多くは私が普段見ている観点と同じものでしたが、一部、私の立場ならではの「現実目線」があるように思ったので、書いてみます。 面接の目的 自己紹介タイム 質問タイム 鉄板系 掘り下げ系 変化球系 応募者からの質問タイム おわりに 面接の目的 ごく普通の話ですが、採用面接には3つの目的があると思います。 企業が応募者のスキルを評価する 企業と応募者間の価値観や希望のミスマッチを防ぐ 企業が応募者に評価してもらう(今回は触れません) 1の確認のためには応募者のWhatを、2のためにはWhyを掘り下げる
KDDI、KDDI総合研究所、富士通、NEC、三菱総合研究所は2023年8月1日、5G(第5世代移動通信システム)やLTEネットワーク機器などを対象例とした通信分野におけるSBOM(Software Bill of Materials)導入に向けた実証事業を開始すると発表した。SBOMは特定の製品に含まれるすべてのソフトウエアコンポーネント、ライセンス、依存を一覧化したもので「ソフトウエア部品表」とも呼ばれる。 KDDIが総務省から「通信分野におけるSBOMの導入に向けた調査の請負」を受託したことを受けて取り組むもので、通信分野におけるサイバーセキュリティー強化を目的とする。実証ではSBOMを使ってソフトウエア・サプライチェーンを把握し、脆弱性などへの迅速な対応を実現するとしている。各社の役割分担としては、三菱総合研究所が国内外の動向調査や通信分野へのSBOM導入に向けたガイドライン案を検
先月末、主要なLinuxディストリビューションなどで広く使用されているファイル可逆圧縮ツール「XZ Utils」に、悪意あるコードが挿入された問題(CVE-2024-3094)が確認されたとして大きな波紋を呼んでいる。このコードが挿入されたバージョンのXZ Utilsがインストールされたシステムは、特定条件下で、SSHポート経由で外部から攻撃者が接続できるような改ざんが行われる可能性がある。 今回はすんでのところで気づいた人がおり(SSHによるログインが僅かに遅延することに違和感を持ったのがきっかけだったという)、全世界に配布される直前にストップがかけられたが、もしかすると気づいていないだけですでに商用で利用されているOSS製品に似たような悪意ある脆弱性が仕込まれているのではないか、という不安混じりの疑念を持った人は少なくないと思う。 実際に、OSSではないが多くの企業や政府機関で利用され
求められるSBOM対応、ソフトウェアのリスク管理は「待ったなし」、さあどうする?:OSS活用の際に直面する“3つの課題”と自社システムの脆弱性にどう立ち向かうか 各国政府や国際機関が、SBOMなどを通じたサイバーセキュリティやソフトウェアのサプライチェーンへの取り組みを急速に進めている。これは人ごとではない。各国政府や、業界団体は、制度化や国際標準化により企業への対応を強く求めている。今後、企業にはどういうアクションが求められるのだろうか。 高まるSBOM導入の機運、継続的な監視/運用の体制作りが重要に ここ数年で、オープンソースソフトウェア(OSS)の利用リスクに大きな注目が集まるようになった。「Apache Log4j」で明らかになった脆弱(ぜいじゃく)性の問題は、今やOSSがあらゆるところで使われており、セキュリティ上の問題がもたらす社会的インパクトが大きいという事実を浮き彫りにした
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます EY Japanは7月10日、政府のサイバー対策に関するメディア勉強会を開催した。防衛装備庁は2023年度の契約から、米国立標準技術研究所(NIST)が定めた「NIST SP800-171」に準ずる防衛産業サイバーセキュリティ基準の適用を求めている。EYストラテジー・アンド・コンサルティング ストラテジックインパクトパートナーの西尾素己氏は、「日本も情報クライテリア(条件)を持たなければならない。さらに『EO(Executive Order)14028』のソフトウェアサプライチェーン攻撃対策に目を向けることも必要だ」と提言した。 SP800-171は、NISTが定めたサイバーセキュリティフレームワークの一つである。2009年に米軍戦闘機
こんにちは、臼田です。 みなさん、AWSセキュリティサービスのアップデートチェックしてますか?(挨拶 今回は先日開催した弊社イベントであるAWS re:Inforce参加者から見るクラウドセキュリティの最新動向と応用で登壇した内容の共有です。 資料 解説 前置き re:Inforce 2023はめっちゃ面白かったです。 参加できなかった方も、来年は是非参加しましょう! 個人的には、普段からAWSセキュリティをやっている人もそうですが、普段は開発などでセキュリティ専門ではないけど、その知識や経験があると嬉しい人たちも参加すると非常にいいと思います。 re:Inforceやre:Inventは学習型のイベントです。濃密な時間で沢山のことを吸収できますから、ぜひ普段のロールがセキュリティじゃない方も参加をおすすめします。 アップデート一覧 re:Inforce 2023では沢山のAWSセキュリテ
本記事では、Windows OSをはじめとするOSを使用する開発者やIT管理者、経営層などに向けて、ソフトウェアのサプライチェーンリスクや既知の脆弱(ぜいじゃく)性といったリスクと、それを解決するためのSBOM(Software Bill of Materials)の活用について説明していきます。 本校では、以下のような疑問に答えていきます。 SBOMに関する一般論からOS視点でのSBOM活用に触れることで、ソフトウェアの開発と運用に携わる全てのステークホルダーにSBOMの理解を深めていただければと思います。 OS視点で見るSBOM導入の課題 SBOMは、もともとLinux環境におけるオープンソースソフトウェア(OSS)の管理で頻繁に使用される考え方でした。コードの再利用と共有が盛んなこの分野では、SBOMがセキュリティとコンプライアンスの鍵となっています。 Windows OS環境では、
PowerShell: the object-oriented shell you didn’t know you needed
PowerShell is an interactive shell and scripting language from Microsoft. It’s object-oriented — and that’s not just a buzzword, that’s a big difference to how the standard Unix shells work. And it is actually usable as an interactive shell. Getting Started PowerShell is so nice, Microsoft made it twice. Specifically, there concurrently exist two products named PowerShell: Windows PowerShell (5.1)
2月8日、Python 3.12.2および3.11.8がリリースされた。Python 3.12.2では、多数のバグフィックスのほか、初めてSoftware Bill of Materialsをサポートしている。 Python 3.12.2および3.11.8が公開 2月8日、Python 3.12.2および3.11.8がリリースされた。 Python 3.12.2では、多数のバグフィックスのほか、初めてSoftware Bill of Materialsをサポートしている。 ※Software Bill of Materials(SBOM) …ソフトウェア製品の構造を明示的に示す文書。ソフトウェア開発プロセスでは、BOMは通常、プロジェクトに使用されるすべてのコンポーネント、ライブラリ、ツール、およびその他のリソースを一元的に記述したものとなる。ソフトウェアBOMの目的は、ソフトウェアの構成
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 【ラウンドアップ】 「SBOM」(Software Bill of Materials:ソフトウェア部品表)は、2024年のサイバーセキュリティ動向で注目すべきキーワードの1つになるだろう。米国では大統領令で企業に対応が求められ、日本でも経済産業省や厚生労働省からSBOMのガイドラインが提供されている。安全なITソフトウェア製品開発は、世界的にも“義務的な”取り組みとなっていくだろう。ここでは、2023年までのSBOM動向が分かる記事を集めた。
医療機器大手がサイバー攻撃対策を急いでいる。テルモは製品に使うソフトウエアの一覧表「SBOM(エスボム)」を導入し、欠陥が見つかった際に早期に修正する。2024年4月から国内での製造販売の承認にはサイバーセキュリティー対策が必須となる。テルモは輸液ポンプやインスリンポンプなど、通信機能を持った医療機器にエスボムを導入する。エスボムはソフトウエアを構成するプログラムを一覧にしたものだ。プログラ
近年、ソフトウェアの脆弱性やマルウェアの台頭で、ソフトウェアのバージョン管理や脆弱性管理などの重要度が日に日に増しています。SBOMはソフトウェアの部品構成表ですが、構成情報の透明性を高めることでライセンス管理や脆弱性対応への活用が期待されます。 ここでは、『ソフトウェア管理に向けたSBOMの導入に関する手引』の概要について、前半は1章〜3章の復習をしましたが、後半は4章を中心に解説します。前半はこちら。 4章「環境構築・体制整備フェーズにおける実施事項・認識しておくべきポイント」 渡邊:4章ですね。環境構築と体制整備フェーズにおける実施事項と、認識しておくべきポイントです。まず一番初めがSBOMの適用範囲の明確化というところで、これは手引き書もこういった構成になっていて、実際にこのフェーズでやるべき事柄と、それによって認識しておくべきポイントがまとまっています。 文言的にはサマライズして
脆弱性の早期検知と管理を内製化してみた
この記事は MICIN Advent Calendar 2023 の7日目の記事です。 前回は木南さんの『技術強化委員の取り組み』でした。 皆さんの組織では社内IT資産の脆弱性の情報収集や管理、どのように行っていますでしょうか?有償の脆弱性管理ツールを活用している組織もあれば、そういったツールを使用せずに深刻な脆弱性が広く知られるようになってから対応を検討する組織もあるかもしれません。今回は株式会社MICIN社内におけるIT資産(コーポレートIT&プロダクト)の脆弱性の早期検知と管理の内製化に焦点を当て、情報セキュリティ部の高橋がその取り組みについてご紹介します。 脆弱性管理システムの狙い MICINでは2023年の1月から9月にかけて「脆弱性管理システム」の構築を進め、現在は改良を重ねながらシステムを使用した脆弱性検知・管理を運用しています。このシステムでは、一次情報を情報源として活用し
サイオステクノロジーの佐々木です。 今回はSBOMツールについて様々な観点で表にまとめてみました。(目視で調べているので取りこぼしやミスがあるかもしれません。その際はご指摘ください) SBOMとは何ぞやという方は別の記事がありますのでこちらを参照してください。 以下はすべてミニマムのプランになります。 今回分類対象とするSBOMツールは以下になります Black Duck Checkmarx SCA FOSSA FossID Insignary Clarity MEND SCA Revenera SCA Snyk Sonatype Lifecycle Veracode SCA Daggerboard Dependency-Track OSS Review Toolkit (ORT) SBOM Tool ScanCode.io Scancode Toolkit SwiftBOM Syft &
サイバー攻撃への備えを!「SBOM」(ソフトウェア部品構成表)を活用してソフトウェアの脆弱性を管理する具体的手法についての改訂手引(案)を公表します (METI/経済産業省)
ホーム ニュースリリース ニュースリリースアーカイブ 2024年度4月一覧 サイバー攻撃への備えを!「SBOM」(ソフトウェア部品構成表)を活用してソフトウェアの脆弱性を管理する具体的手法についての改訂手引(案)を公表します サイバー攻撃への備えを!「SBOM」(ソフトウェア部品構成表)を活用してソフトウェアの脆弱性を管理する具体的手法についての改訂手引(案)を公表します 「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引ver2.0(案)」の意見公募を開始します 経済産業省は、ソフトウェアサプライチェーンが複雑化する中で、急激に脅威が増しているソフトウェアのセキュリティを確保するための管理手法の一つとして「SBOM」(ソフトウェア部品表)に着目し、企業による利活用を推進するための検討を進めてきました。2023年7月には、ソフトウェ
「2024 State of Open Source Report」でOSSの最新利用動向が明らかに 最も投資されているOSS分野は?
オープンソース推進団体のOpen Source Initiative(OSI)は2024年2月1日(ベルギー時間)、世界の企業や組織におけるオープンソースソフトウェア(OSS)の利用状況とサポートに関する調査結果をまとめたレポート「2024 State of Open Source Report」を公開した。 調査は、OpenLogic by PerforceがOSIおよびEclipse Foundationと共同で2023年10~11月に実施し、世界のさまざまな業界の企業や組織で働くオープンソースユーザーから2046件の回答を得た。 OpenLogic by Perforceは、Perforce SoftwareのOpenLogic部門の対外的呼称。同部門はオープンソースサポートと企業向けサービスを提供している。Eclipse Foundationは、オープンソースのEclipseプロジ
This article is about a bit of surprising behavior I recently discovered using Python's regex module (re) while developing SBOM tooling for CPython. Folks who've worked with regular expressions before might know about ^ meaning "start-of-string" and correspondingly see $ as "end-of-string". So the pattern cat$ would match the string "lolcat" but not "internet cat video". The behavior of ^ made me
「Docker Desktop 4.20」リリース、コンテナイメージにSBOM証明書を追加可能に:イメージ履歴表示やイメージのインポートも Dockerは、Windows/macOS向けのDocker環境「Docker Desktop 4.20」をリリースした。イメージ履歴のサポート、プライベートリポジトリからのイメージの取得、イメージのインポートを追加した。
July 11, 2023 Today we are making further improvements to granular access tokens in npm. Highlights of this update are Custom Expiration Times: You can now create granular access tokens with custom expiration times, allowing for durations that span multiple years. Increased Token Limit: We have expanded the maximum limit for granular access tokens creation to 1000. This enables maintainers with a
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
【雑記】セキュリティガイドライン類 約300時間 読み漁ってみた - 2LoD.sec
BudouX: 読みやすい改行のための軽量な分かち書き器
ドイツの州、3万台の自治体PCを「Linux」「LibreOffice」に移行すると発表
SBOM解説: SBOMのメリットと導入の流れ | SIOS Tech. Lab
【2024年】AWS全サービスまとめ | DevelopersIO
ソフトウェアを外部の攻撃から守るために SBOMを使った脆弱性管理の方法1章~3章までを解説
自組織のSBOM管理ツール選定の参考になる? 米国家安全保障局が公開した「SBOM管理のための推奨事項」【海の向こうの“セキュリティ”】
CentOS後継候補のAlmaLinuxが日本ユーザーに「より安心に」
トヨタ・ルネサス・キヤノンが力注ぐSBOM、欧米主導で企業間取引の条件に
OSSを使うならSBOM対応は欠かせない HISOLが「SBOM管理サービス」を開始
セキュリティの新語「ASPM」とは--Snyk担当者が解説
NTTら10社がセキュリティ推進団体を設立--SBOMの課題解決と活用へ
【雑記】セキュリティマネージャによる中途採用面接の胸の内 - 2LoD.sec
KDDIや富士通・NECなど5社、通信分野へのSBOM導入に向けた実証事業を開始
Solorigate事件の教訓 - サプライチェーンアタックを防ぐことは可能か|ミック
求められるSBOM対応、ソフトウェアのリスク管理は「待ったなし」、さあどうする?
米国のセキュリティ基準「NIST SP800-171」とは--EY Japanが解説
「AWSセキュリティサービス 最新アップデート」というタイトルで登壇しました | DevelopersIO
Windows OSのシステム管理者も無関係じゃない、これから始めるSBOM
Python 3.12.2 リリース ー SBOM(ソフトウェアの部品表)を初サポート
「SBOM」は2024年のサイバーセキュリティキーワードになるか
テルモ、医療機器にサイバー攻撃対策 ソフト欠陥素早く修正 - 日本経済新聞
SBOMツールは何を選べばいいのか SBOMを使った脆弱性管理の方法4章を解説
SBOMツールをカテゴリー分けしてみた | SIOS Tech. Lab
Regex character “$” doesn't mean “end-of-string”
「Docker Desktop 4.20」リリース、コンテナイメージにSBOM証明書を追加可能に
Improvements to granular access tokens on npm