マイクロソフト、ビルド時にソフトウェアの部品表(SBOM)を自動生成する「SBOM Tool」、オープンソースで公開
マイクロソフト、ビルド時にソフトウェアの部品表(SBOM)を自動生成する「SBOM Tool」、オープンソースで公開 マイクロソフトは、ビルド時にそのソフトウェアがどのようなソフトウェア部品から構成されているかを示すデータ「SBOM」を生成してくれるツール「SBOM Tool」を、オープンソースで公開しました。 SBOMによるサプライチェーンリスクの解決 SBOMとはSoftware Bill Of Materialsの頭文字をとったもので、日本語では「ソフトウェア部品表」とされます。あるソフトウェアがどのようなソフトウェア部品によって構成されているのかを示す情報がまとまったデータのことです。 ほとんどのソフトウェアは単独で成立しているわけではなく、多数のライブラリやコンポーネントなどのソフトウェア部品に依存しています。そのなかのいずれかに脆弱性が発見されればドミノ倒しのように他のさまざま
経済産業省、「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引」公開。環境構築、SBOM作成、運用管理など解説
経済産業省は「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引」を策定し公開したことを明らかにしました。 SBOMは日本語では「ソフトウェア部品表」とされます。あるソフトウェアがどのようなソフトウェア部品によって構成されているのかを示す情報がまとまったデータのことです。 ほとんどのソフトウェアは単独で成立しているわけではなく、オープンソースを始めとする多数のライブラリやコンポーネントなどのソフトウェア部品に依存しています。そのなかのいずれかに脆弱性が発見されればドミノ倒しのように他のさまざまなソフトウェアに影響することは必至です。 例えば2021年末に発覚したJavaライブラリ「Log4j」の脆弱性は、非常に幅広いJavaのソフトウェアに深刻な影響を与えました。 多くの産業や社会インフラにおいてソフトウェアの存在が欠かせなくなってい
はじめに こんにちは。先日、社内にてSBOMに関する勉強会を行いました。この記事では、そこで学んだことを解説していきたいと思います。 具体的な内容は以下の通りです。 SBOMとは何か SBOMを導入するとどんなメリットがあるか SBOMを導入するにはどんなことに気を付けて何をすれば良いか SBOMにはどんな種類があるのか 特に、SBOMに興味はあるけど具体的に何していいかわからない、という方に参考になると思っています。少々長いですが、最後まで読んでいただけると嬉しいです。 それでは、順番に説明していきます。 SBOMとは SBOMとは、ソフトウェア部品表(Software Bill of Materials)、つまり、ソフトウェアコンポーネントやそれらの依存関係の情報も含めた機械処理可能な一覧リストのことです。 ソフトウェアに含まれるコンポーネントの名称やバージョン情報、コンポーネントの開
DX(デジタルトランスフォーメーション)やIoT(Internet of Things)の進展により、ますますその存在感が増しているオープンソースソフトウェア(OSS)。ソフトウェアの高機能化、大規模化によるサプライチェーンの複雑化を背景に、SBOM(Software Bill of Materials)によるOSSサプライチェーンマネジメントに注目が集まっています。米国では既に必須化・標準化の動きが始まっており、日本企業も対応を迫られるようになってきました。本記事では、あらためてSBOMとは何か、そして日本におけるSBOM活用の普及促進にはどういった課題があるかについて、詳しく解説します。 SBOMとはいったい、どのようなものなのか Software Bill of Materials(SBOM、「エスボム」と読みます))とは、ソフトウェアを構成するOSSや商用ソフトウェアなどのライブラ
この記事は、 NTT Communications Advent Calendar 2022 1日目の記事です。 はじめに こんにちは。イノベーションセンターテクノロジー部門の西野と申します。 「Metemcyber」プロジェクトで、脅威インテリジェンスの運用や活用に関する研究開発をしています。 今回の記事では、SBOMを利用した脆弱性管理の取り組みについてご紹介します。 実は NTT Communications Advent Calendar に6年連続で寄稿しているので、そろそろ名前を覚えてあげてください。 SBOMとは? SBOMは「ソフトウェア部品表(Software Bill Of Materials)」と呼ばれるもので、一般的には特定のソフトウェアに含まれるコンポーネントの依存関係を記述するために利用されます。記述フォーマットとしてはSPDXやCycloneDXが有名です。
「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引」を策定しました (METI/経済産業省)
【2023年7月28日発表資料差し替え】「ソフトウェア管理に向けたSBOMの導入に関する手引きVer1.0」に関して、ページ番号の記載がなかったため追記しました。 経済産業省は、ソフトウェアサプライチェーンが複雑化する中で、急激に脅威が増しているソフトウェアのセキュリティを確保するための管理手法の一つとして「SBOM」(ソフトウェア部品表)に着目し、企業による利活用を推進するための検討を進めてきました。今般、主にソフトウェアサプライヤー向けに、SBOMを導入するメリットや実際に導入するにあたって認識・実施すべきポイントをまとめた手引書を策定しましたのでお知らせします。 本手引の普及により企業におけるSBOMの導入が進むことで、ソフトウェアの脆弱性への対応に係る初動期間の短縮や管理コストの低減など、ソフトウェアの適切な管理が可能となり、企業における開発生産性が向上するだけでなく、産業界におけ
GitHub.comにSBOM生成ツールが登場。誰でも無償でSBOMファイル作成、パブリックリポジトリならユーザーでも自由に作成可能
GitHub.comにSBOM生成ツールが登場。誰でも無償でSBOMファイル作成、パブリックリポジトリならユーザーでも自由に作成可能 GitHubは、同社が提供するGitHub.comにSBOM(ソフトウェア部品表)生成ツールが組み込まれたことを発表しました。 リポジトリを参照できる権限があるユーザーであれば誰でもボタンをクリックするだけでSBOMファイルを無償で作成できます。 つまり、誰でも参照できるパブリックリポジトリであれば、誰でもそのリポジトリで公開されているソフトウェアのSBOMファイルが簡単に入手できることになります(実際に試しましたが、確かにパブリックリポジトリのSBOMファイルを簡単に作成できました)。 Introducing self-service SBOMs! With just one click, developers and compliance teams c
近年、ソフトウェアの脆弱性やマルウェアの台頭で、ソフトウェアのバージョン管理や脆弱性管理などの重要度が日に日に増しています。SBOMはソフトウェアの部品構成表ですが、構成情報の透明性を高めることでライセンス管理や脆弱性対応への活用が期待されます。 ここでは、経済産業省サイバーセキュリティ課の飯塚智氏が、三菱総研と日立ソリューションズとともに作った『ソフトウェア管理に向けたSBOMの導入に関する手引』の概要について、1章〜3章の「背景と目的」「SBOMの概要」「SBOM導入に関する基本指針・全体像」を中心に解説します。 SBOM導入手引きの前半の1章から3章までを解説 渡邊歩氏(以下、渡邊):飯塚さん、ご講演をお願いいたします。 飯塚智氏(以下、飯塚):みなさま、お忙しいところご参加いただきましてありがとうございます。あらためまして、私、経済産業省サイバーセキュリティ課の飯塚と申します。 本
Javaで書いた4行のコード、依存関係をたどると51万行に――超複雑化するソフトウェア構成、SBOMで探るには
@IT編集部は2022年8月22日、デジタルイベント「@IT ソフトウェア品質向上セミナー」を開催した。基調講演では、「SBOMによるサプライチェーン攻撃対策~自社ソフトウェアのリスク、把握していますか?~」と題して、JFrog Japanの横田紋奈氏(デベロッパーアドボケイト兼Java女子部・JJUG運営)が、企業におけるオープンソースソフトウェア(OSS)の使用に潜むリスクにはどのようなものがあり、それにどう対処していけばよいかについて解説した。 ソフトウェアのセキュリティで注目されるソフトウェアサプライチェーン攻撃 SBOMとソフトウェアサプライチェーンの話題の前に、横田氏はDevSecOpsとは何かから話を始めた。DevOpsは、開発者と運用者が協力してサービスを改善していくもの。ユーザーからのフィードバックなどを受けて取り組みを繰り返し、改善を継続する。そのための考え方であり、組
「SBOM(Software Bill Of Materials:ソフトウェア部品表)」という概念があります。これはあるソフトウェアを構築する上で利用しているライブラリの一覧をまとめたものです。また、システムにインストールされているソフトウェア一覧を示す場合もあります。今回は手元のUbuntuにインストールされているソフトウェア一覧を簡易的にまとめる方法を紹介しましょう。 SBOMの必要性 昨今のソフトウェアは多種多様なライブラリに依存しながら構築されています。太古のC言語のプログラムなら、シンプルなものならlibcだけ、そこそこ複雑なものでも2、3個のライブラリに依存するだけで済むことが大半でした。それが今風のプログラミング言語になると、特定の便利そうなライブラリに依存するだけで、「だったら俺も僕も私もミーも」といくつものライブラリがバンドルされてしまうのです。 結果的に広く使われてい
.app 1 .dev 1 #11WeeksOfAndroid 13 #11WeeksOfAndroid Android TV 1 #Android11 3 #DevFest16 1 #DevFest17 1 #DevFest18 1 #DevFest19 1 #DevFest20 1 #DevFest21 1 #DevFest22 1 #DevFest23 1 #hack4jp 3 11 weeks of Android 2 A MESSAGE FROM OUR CEO 1 A/B Testing 1 A4A 4 Accelerator 6 Accessibility 1 accuracy 1 Actions on Google 16 Activation Atlas 1 address validation API 1 Addy Osmani 1 ADK 2 AdMob 32 Ads
Microsoftは2022年7月12日(米国時間)、SBOM(Software Bill of Materials:ソフトウェア部品表)生成ツール「sbom-tool」をオープンソースとして公開した。 SBOMはソフトウェアを構成する全てのコンポーネントのリストのこと。ソフトウェアサプライチェーンにおける透明性や、依存関係のトレーサビリティー(追跡可能性)を確保するための有効な手段として、世界的に普及が進んでいる。例えば、2021年の米国大統領令「国家のサイバーセキュリティの向上」においても、SBOMは重要な要件として挙げられている。 Microsoftによると、今回のSBOM生成ツールは汎用(はんよう)的で、業務に広く利用されてきた実績がある。WindowsやLinux、macOSなどのプラットフォームで動作し、SPDX(Software Package Data Exchange)形
Log4j問題は大したことなかった? 脆弱性対応はスプリント&マラソン? SBOMで解決?――piyokango氏に聞いた
オープンソースソフトウェア(OSS)の利用が当たり前になった今、“脆弱性”情報をいち早く押さえることは非常に重要だ。その対応の早さが企業の存続をも左右するようになっている。システムの脆弱(ぜいじゃく)性を考えたとき、現在ではソフトウェアの脆弱性だけでなく、ハードウェアに近い部分の脆弱性、設定に起因するグレーゾーンの脆弱性、そして組織の脆弱性も考えていかねばならない。 多種多様な脆弱性に対応するには、公開された情報を基に、企業そして情報システム部門などの現場の担当者がそれをどう生かすかに焦点が当たっている。そこで、インシデント情報をまとめて記録する「piyolog」を運営するpiyokango氏に、昨今のインシデントを基に、今そこにある問題点や「企業がどう対策すべきか」について聞いた。 脆弱性は終わらない ――脆弱性に関する事件が次々と明らかになっています。最近、piyokangoさんの印象
「SBOM (ソフトウェア部品表) とサイバーセキュリティへの対応状況」調査レポート公開 - The Linux Foundation
本日、日本語版の「SBOM (ソフトウェア部品表) とサイバーセキュリティへの対応状況」調査レポート (原題 : The State of Software Bill of Materials and Cybersecurity Readiness) が公開されました。 本調査レポートは、ソフトウェア サプライチェーンを保護するための課題と機会について理解を深める研究プロジェクトの第一弾として、Linux Foundation Research が、SPDX、OpenChain、OpenSSFと協力して作成しました。組織におけるSBOMの準備・採用の度合いと、オープンソース エコシステム全体のサイバーセキュリティを改善する上でのSBOMの重要性について報告しています。 調査は、米国政府による「国家サイバーセキュリティ改善に関する大統領令」と、ホワイトハウスのOSSセキュリティサミットのすぐ
脆弱性のリスクが高いOSSとは 渡邊歩氏(以下、渡邊):みなさま、ご質問を投稿いただけましたでしょうか。それでは三田さま、もう一度お戻りいただきまして、みなさまからのご質問にお答えいただきたいと思います。 実は非常にたくさんご質問をいただいておりますので、みなさまが本当に興味のある分野ということがわかるかと思います。それでは1つずつ、三田さまにご回答いただきます。 まず1つ目のご質問です。「OSSの中でも脆弱性の対応頻度の高いものは、SBOMでトレースする意義が高いと思うのですが、そのようなOSSごとの更新頻度、脆弱性の対応頻度などの情報はお持ちではありませんか?」。こちらはいかがでしょうか。 三田真史氏(以下、三田):「OSSごとの」というところで、脆弱性頻度が高いものは確かに一部あるかなと思っております。SBOMなどを使って可視化していくことは重要だと思いますが、例えば脆弱性情報が出た
「ライセンス管理や脆弱性の管理はソフトウエアの中身が分からないとできない。SBOM(Software Bill of Materials、エスボム)利用の目的を明確にして、サプライチェーンの企業に提出を依頼している」――。トヨタ自動車の担当者はこう語る。「(ソフトウエア部品情報の)伝言ゲームを効率的に正確に行うためのツールとしてSBOMがある」(同担当者)。 SBOMに取り組むのはトヨタだけではない。ルネサスエレクトロニクスやキヤノンも力を入れている。キヤノングループでは医療機器の開発などを手掛けるキヤノンメディカルシステムズも取り組みを進めており、現在生産している約2000の製品群でSBOMをつくれる環境を整えた。IT業界では野村総合研究所(NRI)が、Javaによるシステム開発を支援するフレームワーク「ObjectWorks X」で利用するソフトウエアのSBOMを提供し始めた。 SBO
日立ソリューションズは2023年12月13日、ソフトウェア部品表(以下、SBOM)を一元管理し、各種リスクの検知と対応、ベストプラクティスの適用や情報分析・活用を実現するプラットフォーム「SBOM管理サービス」の販売を開始した。 同社は2023年12月12日に記者発表会を開催し、SBOMが注目を集める背景や国内外の動向、SBOM管理サービスの概要や詳細について説明した。 OSSを使うならSBOM対応は欠かせないものになる 自動車や通信、医療、社会インフラなどさまざまな業界の製品自動車や通信、医療、社会インフラなどさまざまな業界の製品・サービス開発において、利便性の高いオープンソースソフトウェア(OSS)は欠かせないものになっている。 日立ソリューションズの渡邊 歩氏(ITプラットフォーム事業部 デジタルアクセラレーション本部 シニアOSSスペシャリスト)は「今や1つの製品で数百~数万個のO
GitHub - microsoft/sbom-tool: The SBOM tool is a highly scalable and enterprise ready tool to create SPDX 2.2 compatible SBOMs for any variety of artifacts.
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
Googleは2022年6月14日(米国時間)に公開したブログ記事で、SBOM(Software Bill of Materials:ソフトウェア部品表)の活用事例を発表した。オープンソースツールを使って、「Kubernetes」のSBOMをオープンソースプロジェクトの脆弱(ぜいじゃく)性データベース「Open Source Vulnerabilities」(OSV)と照合し、Kubernetesの構成要素に含まれる脆弱性を特定したプロセスを紹介している。 米国では、2021年の米国大統領令「国家のサイバーセキュリティの向上」の発令や、米国標準技術局(NIST)による「Secure Software Development Framework」(安全なソフトウェア開発フレームワーク)の発表を受け、SBOMの導入機運が高まっている。 SBOMは、「特定のソフトウェアのリスクを判断するには、他
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます NTTら国内外の情報通信およびIT系10社が2月16日、サプライチェーンセキュリティを推進する新団体「セキュリティ・トランスペアレンシー・コンソーシアム」を設立したと発表した。製品やシステム、サービスなどを「つくる側(開発や構築、提供)」が作成・提供した可視化データを利用する際に直面する問題について「つかう側(ユーザー)」からとりまとめ、その問題解決に取り組むという。 新団体には、アラクサラネットワークス、NRIセキュアテクノロジーズ、NTTデータグループ、FFRIセキュリティ、シスコシステムズ、東京エレクトロン、NEC、NTT、日立製作所、 三菱電機が参加する。またNTTでは、グループ企業のNTT東西、NTTドコモ、NTTコミュニケー
脆弱性対策の切り札になるかもしれない「SBOM」
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。 これまで脆弱性に関するさまざまな背景や対応の難しさ、ソフトウェアサプライチェーンがリスクをもたらすことなどについて述べた。 脆弱性情報の公開は、幾重にも講じたセキュリティ対策の努力を一瞬で無にし、非常に大きなインパクトを与える。現代のシステムは、パーツやコンポーネントなどを組み合わせた複雑な構造になっており、場合によっては、ブラックボックスのようになっていることから、もはや管理したくても管理できない状況であり、それが脆弱性の対応の遅れや放置につながっている。 特にオープ
KDDI、KDDI総合研究所、富士通、NEC、三菱総合研究所は2023年8月1日、5G(第5世代移動通信システム)やLTEネットワーク機器などを対象例とした通信分野におけるSBOM(Software Bill of Materials)導入に向けた実証事業を開始すると発表した。SBOMは特定の製品に含まれるすべてのソフトウエアコンポーネント、ライセンス、依存を一覧化したもので「ソフトウエア部品表」とも呼ばれる。 KDDIが総務省から「通信分野におけるSBOMの導入に向けた調査の請負」を受託したことを受けて取り組むもので、通信分野におけるサイバーセキュリティー強化を目的とする。実証ではSBOMを使ってソフトウエア・サプライチェーンを把握し、脆弱性などへの迅速な対応を実現するとしている。各社の役割分担としては、三菱総合研究所が国内外の動向調査や通信分野へのSBOM導入に向けたガイドライン案を検
求められるSBOM対応、ソフトウェアのリスク管理は「待ったなし」、さあどうする?:OSS活用の際に直面する“3つの課題”と自社システムの脆弱性にどう立ち向かうか 各国政府や国際機関が、SBOMなどを通じたサイバーセキュリティやソフトウェアのサプライチェーンへの取り組みを急速に進めている。これは人ごとではない。各国政府や、業界団体は、制度化や国際標準化により企業への対応を強く求めている。今後、企業にはどういうアクションが求められるのだろうか。 高まるSBOM導入の機運、継続的な監視/運用の体制作りが重要に ここ数年で、オープンソースソフトウェア(OSS)の利用リスクに大きな注目が集まるようになった。「Apache Log4j」で明らかになった脆弱(ぜいじゃく)性の問題は、今やOSSがあらゆるところで使われており、セキュリティ上の問題がもたらす社会的インパクトが大きいという事実を浮き彫りにした
Microsoft open sources its software bill of materials (SBOM) generation tool - Engineering@Microsoft
Microsoft open sources its software bill of materials (SBOM) generation tool We are excited and proud to open source our software bill of materials (SBOM) generation tool. A key requirement of the Executive Order on Improving the Nation’s Cybersecurity, SBOMs are lists of ingredients that make up software components, providing software transparency so organizations have insight into their supply c
オープンソースソフトウェア(OSS)のサプライチェーン管理における重要なトピックとして、前回解説した「SBOM(Software Bill of Materials:ソフトウェア構成表)」がある。2021年のサイバーセキュリティに関する米大統領令で取り上げられたことなどから、急速に注目が集まっている。 ただし、SBOMとは「サイバーセキュリティだけ」のための「新しい」仕組みだというのは誤解だ。 ソフトウェア納品の際に、利用しているOSSの情報を一定のフォーマットで提示するSBOMの仕組みは、以前から提案されてきた。目的は、セキュリティ脆弱(ぜいじゃく)性管理だけでなく、バグ対応やライセンスコンプライアンスを含めた包括的なサプライチェーン管理にある。 では、SBOMは現在、どのように使われているのか。さらなる普及に向けてはどのような課題があるのか。自動車業界、半導体/組み込み業界、システムイ
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。 これまで、以下の記事でソフトウェアの脆弱性の対応およびその解決策としての「ソフトウェア部品表」(SBOM:Software Bill Of Materials)の有効性などについて述べてきた。 セキュリティ管理者を悩ませる「脆弱性まつり」がもっと深刻になる理由 セキュリティ管理者が脆弱性の影響をベンダーに聞かなければ判断できない裏事情 「ソフトウェアサプライチェーン」の部品の中の脆弱性にまつわる深刻なリスク 米国政府が「SBOM」による管理を大統領令に盛り込んだ意味 今
本記事では、Windows OSをはじめとするOSを使用する開発者やIT管理者、経営層などに向けて、ソフトウェアのサプライチェーンリスクや既知の脆弱(ぜいじゃく)性といったリスクと、それを解決するためのSBOM(Software Bill of Materials)の活用について説明していきます。 本校では、以下のような疑問に答えていきます。 SBOMに関する一般論からOS視点でのSBOM活用に触れることで、ソフトウェアの開発と運用に携わる全てのステークホルダーにSBOMの理解を深めていただければと思います。 OS視点で見るSBOM導入の課題 SBOMは、もともとLinux環境におけるオープンソースソフトウェア(OSS)の管理で頻繁に使用される考え方でした。コードの再利用と共有が盛んなこの分野では、SBOMがセキュリティとコンプライアンスの鍵となっています。 Windows OS環境では、
本連載では、オープンソースソフトウェア(OSS)の利活用に伴う「ライセンスリスク」と、それをマネジメントするための活動である「OSSコンプライアンス」について取り上げ、エンジニアの方がOSSをスムーズに利用するための実務上の勘所や、これから戦略的にOSSを活用していきたいと考えている企業の方へのヒントとなる情報を紹介しています。 今回からは、「SBOM(Software Bill of Materials:ソフトウェア部品表)」についての本格的な解説に入ります。SBOMは、広義では「ソフトウェアのリスト」あるいは「OSSのリスト」です。本連載でも、これまでに社内でOSSのリストを管理しながらプロジェクトを進行する場面がありました。 しかし、複数のパートナー企業と協力して、サプライチェーンにおけるコンプライアンスおよびセキュリティ担保の取り組みを進めるには、情報内容や記述形式の統一、さらには
2月8日、Python 3.12.2および3.11.8がリリースされた。Python 3.12.2では、多数のバグフィックスのほか、初めてSoftware Bill of Materialsをサポートしている。 Python 3.12.2および3.11.8が公開 2月8日、Python 3.12.2および3.11.8がリリースされた。 Python 3.12.2では、多数のバグフィックスのほか、初めてSoftware Bill of Materialsをサポートしている。 ※Software Bill of Materials(SBOM) …ソフトウェア製品の構造を明示的に示す文書。ソフトウェア開発プロセスでは、BOMは通常、プロジェクトに使用されるすべてのコンポーネント、ライブラリ、ツール、およびその他のリソースを一元的に記述したものとなる。ソフトウェアBOMの目的は、ソフトウェアの構成
The Linux Foundationはソフトウェアの再利用に関する課題について調査したレポート「The State of Software Bill of Materials(SBOM) and Cybersecurity Readiness」(ソフトウェア部品表《SBOM》とサイバーセキュリティへの対応状況)を発表した。SBOMは最近のアプリケーションのおよそ90%がオープンソースソフトウェアを利用しているという状況に沿った解決策だ。 オープンソースを通じたイノベーション促進を目指す非営利組織The Linux Foundation(以下、Linux Foundation)は2022年2月1日(米国時間)、ソフトウェアの再利用に関する課題について調査したレポート「The State of Software Bill of Materials(SBOM) and Cybersecuri
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 【ラウンドアップ】 「SBOM」(Software Bill of Materials:ソフトウェア部品表)は、2024年のサイバーセキュリティ動向で注目すべきキーワードの1つになるだろう。米国では大統領令で企業に対応が求められ、日本でも経済産業省や厚生労働省からSBOMのガイドラインが提供されている。安全なITソフトウェア製品開発は、世界的にも“義務的な”取り組みとなっていくだろう。ここでは、2023年までのSBOM動向が分かる記事を集めた。
オープンソース・ソフトウェア(OSS)は、現在多くの産業で使われていますが、脆弱性やコンプライアンス面で、さまざまなリスクも存在しています。そんな中で注目されているのが、ソフトウェアを構成する要素を一覧できるリスト「SBOM(エスボム)」です。欧米の公的機関などでもSBOMの必要性が指摘されており、今後は国内のさまざまな企業・組織でも対応が求められる可能性があります。 本記事では、株式会社日立ソリューションズ主催「SBOMを語る3日間!OSSマネジメントフォーラム2022」より、SBOM活用検討の中心として活動する経済産業省の三田真史氏の講演をお届けします。前編では、欧米で先行するSBOMをめぐる議論や、国内の検討状況について解説します。 社会的に影響が大きかった「情報セキュリティ10大脅威」 渡邊歩氏(以下、渡邊):「SBOMを語る3日間! OSSマネジメントフォーラム2022」Day1
OpenClarity プロジェクトの KubeClarity で始めるお手軽 SBOM/脆弱性管理 - @amsy810's Blog
OpenClarity プロジェクトと KubeClarity を用いた SBOM 管理 この記事は Kubernetes Advent Calendar 2022 の 2 日目の記事です。 こんにちは。 サイバーエージェント CIU(CyberAgent group Infrastructure Unit)で KaaS 基盤のプロダクトオーナーを務めている青山です。 採用もしているので、ご興味のある方はぜひ Twitter DM などいただければと思います。 今回の Advent Calendar は、去年の KubeCon で印象に残っていた APIClarity の兄弟プロダクトである、KubeClarity について紹介しようと思います。 (2020/2021 に引き続きおうちKubernetesでCSIガチネタしたかったのですが、時間が取れず…) APIClarity との出会い
Announcing Docker SBOM: Increased Docker Image Visibility | Docker
Announcing Docker SBOM: A step towards more visibility into Docker images Today, Docker takes its first step in making what is inside your container images more visible so that you can better secure your software supply chain. Included in Docker Desktop 4.7.0 is a new, experimental docker sbom CLI command that displays the SBOM (Software Bill Of Materials) of any Docker image. It will also be incl
GitHubは2023年3月28日(米国時間)、GitHubのクラウドリポジトリへの読み取りアクセスが可能な人なら誰でも、ワンクリックで「SBOM(Software Bill of Materials:ソフトウェア部品表)」を生成できるSBOMエクスポート機能を発表した。この機能で生成されるSBOMは、米国商務省のNTIA(国家電気通信情報局)が発表したSBOMの最小要素のガイドラインに準拠している。 この新しいSBOMエクスポート機能では、プロジェクトの依存関係とメタデータ(バージョンやライセンスのような)を業界標準の「SPDX」フォーマットで保存したJSONファイルが生成される。このファイルは、セキュリティやコンプライアンスのためのワークフローやツールで使用したり、「Microsoft Excel」でレビューしたりできる。「Google Sheets」との互換性を確保するには、JSON
トヨタ自動車が「ソフトウエア部品表(Software Bill of Materials:SBOM)」の活用に力を入れている。SBOMによって車載ソフトに含まれる脆弱性を管理し、自動車へのサイバー攻撃を未然に防ぐ。 コネクテッド機能や先進運転支援システム(ADAS)などの普及を背景に、車載ソフトは大規模化、複雑化の一途をたどっている。中でも、コネクテッド機能を持つ車載情報システム(IVI)は、オープンソースソフト(OSS)の比率が高く、OSSの脆弱性を突くサイバー攻撃のリスクが高まっている。 SBOMを使い、車載ソフトに含まれるOSSなどの構成要素をすべて一覧表にし、脆弱性の有無を把握することは、サイバー攻撃を未然に防ぐ上で重要である。これまではSBOMの作り方やフォーマットなどの仕様が統一されておらず、SBOMの活用は自動車業界ではあまり進んでいなかった。ここへ来て、2020年12月にS
OSSは企業のシステムにおける重要なコンポーネントとなっている。さまざまなソフトウェアにOSSが組み込まれることで、高度な処理が行える。だが、オープンであるが故に脆弱性が入り込む可能性も否定できない。この状況をいち早く検知し、対処するためのツールとして注目されている「SBOM」について有識者に話を聞いた。 米国大統領令で一気に注目された「SBOM」 オープンソースソフトウェア(OSS)は既に企業のシステムにおける重要なコンポーネントとなっている。さまざまなメリットがある一方で、ソフトウェアの「サプライチェーン」を狙う攻撃も多く、ソフトウェアの部品として組み込まれるOSSの脆弱(ぜいじゃく)性がシステム全体に影響を及ぼすことが課題となっている。この状況をいち早く検知し、対処するためのツールとして「SBOM」(ソフトウェア部品表)が注目されている。 SBOMとは、ソフトウェアサプライチェーンに
米国のSBOM整備は2023年以降に進むか、ライセンス競合の主因はもはやGPLではない:IoTセキュリティ(1/2 ページ) 日本シノプシスは、商用ソフトウェアにおけるOSS(オープンソースソフトウェア)の利用状況を調査した「2023 オープンソース・セキュリティ&リスク分析レポート」の結果について説明した。 日本シノプシスは2023年3月14日、オンラインで会見を開き、商用ソフトウェアにおけるOSS(オープンソースソフトウェア)の利用状況を調査した「2023 オープンソース・セキュリティ&リスク分析(OSSRA:Open Source Security and Risk Analysis)レポート」の結果について説明した。 同レポートは、企業買収時のソフトウェアの査定などを行っているシノプシスの監査サービス部門の調査内容を匿名化した上で、CyRC(Cybersecurity Resear
近年、ソフトウェアの脆弱性やマルウェアの台頭で、ソフトウェアのバージョン管理や脆弱性管理などの重要度が日に日に増しています。SBOMはソフトウェアの部品構成表ですが、構成情報の透明性を高めることでライセンス管理や脆弱性対応への活用が期待されます。 ここでは、『ソフトウェア管理に向けたSBOMの導入に関する手引』の概要について、前半は1章〜3章の復習をしましたが、後半は4章を中心に解説します。前半はこちら。 4章「環境構築・体制整備フェーズにおける実施事項・認識しておくべきポイント」 渡邊:4章ですね。環境構築と体制整備フェーズにおける実施事項と、認識しておくべきポイントです。まず一番初めがSBOMの適用範囲の明確化というところで、これは手引き書もこういった構成になっていて、実際にこのフェーズでやるべき事柄と、それによって認識しておくべきポイントがまとまっています。 文言的にはサマライズして
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
SBOM解説: SBOMのメリットと導入の流れ | SIOS Tech. Lab
米国では既に標準化の流れ、日本企業も対応を迫られる「SBOM」とは
SBOMで始める脆弱性管理の実際 - NTT Communications Engineers' Blog
ソフトウェアを外部の攻撃から守るために SBOMを使った脆弱性管理の方法1章~3章までを解説
第734回 UbuntuでSBOM(ソフトウェア部品表)を作る方法 | gihyo.jp
SBOM in Action: 「ソフトウェア部品表」で脆弱性を見つける
自組織のSBOM管理ツール選定の参考になる? 米国家安全保障局が公開した「SBOM管理のための推奨事項」【海の向こうの“セキュリティ”】
急速に注目集める「SBOM」、Microsoftが生成ツールをOSS化 その機能とは?
日本でもSBOM整備は義務化されるのか? OSS管理をめぐる、国際動向と今後の方向性
トヨタ・ルネサス・キヤノンが力注ぐSBOM、欧米主導で企業間取引の条件に
OSSを使うならSBOM対応は欠かせない HISOLが「SBOM管理サービス」を開始
「Kubernetes」の脆弱性をSBOMで特定、Googleが詳細な手法を公開
NTTら10社がセキュリティ推進団体を設立--SBOMの課題解決と活用へ
KDDIや富士通・NECなど5社、通信分野へのSBOM導入に向けた実証事業を開始
求められるSBOM対応、ソフトウェアのリスク管理は「待ったなし」、さあどうする?
日本でも一部では実運用段階に入ったSBOM、今後の普及に向けた課題は何かを話し合った
継続する「Log4Shell」脆弱性の被害が証明したSBOMの価値
Windows OSのシステム管理者も無関係じゃない、これから始めるSBOM
SBOMの2大フォーマット「SPDX」「CycloneDX」の違いとは?
Python 3.12.2 リリース ー SBOM(ソフトウェアの部品表)を初サポート
セキュリティを高める「SBOM」、なぜ利用が進んでいるのか
「SBOM」は2024年のサイバーセキュリティキーワードになるか
欧米やOSS先進企業が注目する「ソフトウェアの部品構成表」の重要性 経産省による、SBOM導入の4つのシナリオ
GitHubリポジトリからSBOMを簡単に生成できる新機能をリリース、GitHub
トヨタが推すサイバー対策の新常識「SBOM」、流出するリスクは?
ソフトウェア脆弱性管理の切り札、「SBOM」はなぜ必要か?
米国のSBOM整備は2023年以降に進むか、ライセンス競合の主因はもはやGPLではない
SBOMツールは何を選べばいいのか SBOMを使った脆弱性管理の方法4章を解説