景気減速でソフト開発の脆弱性対応が後手に? SBOM整備の取り組みも足踏みか
景気減速でソフト開発の脆弱性対応が後手に? SBOM整備の取り組みも足踏みか:IoTセキュリティ(1/2 ページ) 日本シノプシスは、商用ソフトウェアにおけるOSS(オープンソースソフトウェア)の利用状況を調査した「2024 オープンソース・セキュリティ&リスク分析(OSSRA)レポート」の結果について説明した。 日本シノプシスは2024年4月17日、オンラインで会見を開き、商用ソフトウェアにおけるOSS(オープンソースソフトウェア)の利用状況を調査した「2024 オープンソース・セキュリティ&リスク分析(OSSRA:Open Source Security and Risk Analysis)レポート」の結果について説明した。また、近年のOSSRAレポートのキーワードとなっているSBOM(ソフトウェア部品表)と関わるソフトウェアコンポジション解析について、OSSだけでなくカスタムコンポー
日立ソリューションズ、利用中のソフトウェア部品と脆弱性を一元管理する「SBOM管理サービス」 | IT Leaders
IT Leaders トップ > テクノロジー一覧 > 運用管理 > 新製品・サービス > 日立ソリューションズ、利用中のソフトウェア部品と脆弱性を一元管理する「SBOM管理サービス」 運用管理 運用管理記事一覧へ [新製品・サービス] 日立ソリューションズ、利用中のソフトウェア部品と脆弱性を一元管理する「SBOM管理サービス」 2023年12月12日(火)日川 佳三(IT Leaders編集部) リスト 日立ソリューションズは2023年12月12日、SBOM(ソフトウェア部品表)管理クラウドサービス「SBOM管理サービス」を同年12月13日から販売すると発表した。SBOMを一元管理し、脆弱性情報を検出してサプライチェーンで共有する機能を備えている。価格(税込み)は年額330万円から。 日立ソリューションズの「SBOM管理サービス」は、SBOM(Software Bill of Mater
サイバーセキュリティの強化を目的に通信分野へのSBOM導入に向けた実証事業に着手
先端技術研究所 サイバーセキュリティの強化を目的に通信分野へのSBOM導入に向けた実証事業に着手 2023年8月1日 KDDI株式会社 株式会社KDDI総合研究所 富士通株式会社 日本電気株式会社 株式会社三菱総合研究所 KDDI株式会社(本社:東京都千代田区、代表取締役社長 CEO:髙橋 誠、以下「KDDI」)、株式会社KDDI総合研究所(本社:埼玉県ふじみ野市、代表取締役所長:中村 元、以下「KDDI総合研究所」)、富士通株式会社(本社:東京都港区、代表取締役社長 CEO:時田隆仁、以下「富士通」)、日本電気株式会社(本社:東京都港区、取締役 代表執行役社長 兼 CEO:森田隆之、以下「NEC」)、株式会社三菱総合研究所(本社:東京都千代田区、代表取締役社長:籔田健二、以下「MRI」)は、サイバーセキュリティの強化を目的に、5GやLTEネットワーク機器などを対象例とした通信分野に対し、
Snykの新しいSBOM機能で、ソフトウェアサプライチェーンのセキュリティリスクに対処する | LAC WATCH
セキュリティイノベーション統括部の鈴木です。 近年、企業のセキュリティ対策において、ソフトウェアサプライチェーンのリスク管理が重要なテーマとなっています。情報処理推進機構(IPA)が2023年3月29日に発表した「情報セキュリティ10大脅威 2023」※1では、「サプライチェーンの弱点を悪用した攻撃」が前年の3位から2位に上昇しています。 ※1 情報セキュリティ10大脅威 2023 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構 このように大きな脅威となっているサプライチェーン攻撃リスクに対処するために、近年注目されているのが「SBOM(Software Bill of Materials、エスボム)」です。今回はSBOMについて、また、迅速にソフトウェアサプライチェーンに潜むリスクを特定できる「Snyk(スニーク)」のSBOM機能について詳しくご紹介します。 ソフトウェ
SBOM出力(SPDX/CycloneDX)機能をリリース
SBOM(Software Bill of Material)の標準フォーマットである「SPDX」と「CycloneDX」の出力対応を2023年4月18日より開始します。これにより、ソフトウェアサプライチェーンの中で組織を越えて SBOMを共有するための相互運用性が向上します。 SBOMとは、ソフトウェア部品表のことで、ソフトウェアサプライチェーンのなかで利用されているソフトウェア部品を正確に把握するための手法です。 ソフトウェアの依存関係とシステムレイヤーの複雑化が進むなか、サイバーセキュリティリスクの高まりや多発するインシデントを受け、米国では2021年5月にSBOMに関する大統領令が発令されました。大統領令では、ソフトウェアサプライチェーンセキュリティを向上するためのガイドラインや SBOM の最小要素の発行が命じられています。 日本国内においても、経済産業省に「サイバー・フィジカル
脆弱性管理クラウド「yamory」、SBOM 標準フォーマット SPDX / CycloneDX の出力に対応
Visional グループが運営する、脆弱性管理クラウド「yamory(ヤモリー)」(https://yamory.io/ 以下、yamory)は、SBOM(Software Bill of Material)の標準フォーマットである「SPDX」と「CycloneDX」の出力対応を2023年4月18日より開始します。これにより、ソフトウェアサプライチェーンの中で組織を越えて SBOM を共有するための相互運用性が向上します。 日本国内でも今後普及が進む SBOM SBOM とは、ソフトウェア部品表のことで、ソフトウェアサプライチェーンのなかで利用されているソフトウェア部品を正確に把握するための手法です。 ソフトウェアの依存関係とシステムレイヤーの複雑化が進むなか、サイバーセキュリティリスクの高まりや多発するインシデントを受け、米国では2021年5月に SBOM に関する大統領令が発令されま
GitHub、ソフトウェア部品表の作成機能を無償公開--脆弱性管理を容易に
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます ギットハブ・ジャパン(GitHub)は4月7日、クラウド上のリポジトリーからソフトウェアを構成するコンポーネントやライブラリーなどの状況を開発者が容易に把握、管理できる「ソフトウェア部品表」(SBOM)の作成機能「Export SBOM」を発表した。GitHubの全てのクラウドリポジトリーで無償利用できる。 SBOMは、企業や組織などで使われるソフトウェアの脆弱(ぜいじゃく)性を悪用したサイバー攻撃が深刻な被害をもたらしていることを踏まえて、2021年5月にJoe Biden米大統領が署名したサイバーセキュリティ対策の強化を目指す大統領令に盛り込まれた。同令では、ソフトウェア開発組織に対し、ソフトウェア製品を構成するコンポーネントやライ
JSAC2023 開催レポート~DAY 2 Workshop~ - JPCERT/CC Eyes
JSAC2023の講演の様子を引き続きお伝えします。第3回はDAY2 Workshopについてです。 Surviving the hurt locker: or How I Learned to Stop Worrying and Love the Bom講演者:LINE株式会社 Simon Vestin、二関 学Simon氏、二関氏は、SBOMの説明およびSBOMを生成するプログラムを作成するハンズオンを行いました。SBOMとは、ソフトウェアやシステムを構成材料を列挙したものです。SBOMは、コンプライアンス・ライセンス管理や脆弱性管理に使用されており、複数の規格やタイプがあることを紹介いただきました。また、SBOMの作成方法として、モデリングを手動で行う方法やツールで自動化する方法を共有いただきました。 DIY CycloneDX/cyclonedx-python-lib https:
MyJVN - MyJVN 脆弱性対策情報フィルタリング収集ツール
| 概要 | インストール | 利用方法 | 補助機能 | 動作環境 | よくある質問と答え(FAQ) | MyJVN 脆弱性対策情報フィルタリング収集ツール (mjcheck4) 概要 MyJVN 脆弱性対策情報フィルタリング収集ツール (mjcheck4) は、JVN iPedia に登録されている脆弱性対策情報を MyJVN API を利用して、製品名等でフィルタリングして収集するためのツールです。 mjcheck4 を利用することで、組織で利用しているソフトウェアの脆弱性対策情報を効率よく収集することができます。 【mjcheck4の主な機能】 JVN iPediaの登録済製品を指定して脆弱性対策情報を収集 深刻度など数種類のフィルタリングを使用して情報の絞り込み 注意警戒情報サービスの情報を収集 SBOM(※)が記述されたファイルのインポート・エクスポート ※Software B
MIRACLE Vul Hammer で SBOM を用いた脆弱性管理
本ブログでは、脆弱性管理と SBOM (Software Bill Of Materials) の活用について記載します。 運用するシステムの構成情報として SBOM を利用することでソフトウェアに依存するコンポーネントの把握が可能です。そして、それらのコンポーネントの情報を脆弱性管理に活用することで、効率の良いシステム管理を行なうことが可能になります。 SBOM とは 近年 OSS を含むコードの割合が 9 割を占める一方で、ライセンス違反やメンテナンス状況を把握していなかったり、依存するパッケージやライブラリを把握していなかったりなどの OSS 管理における問題があります。これによって、利用している OSS に脆弱性が発見された際に、対処が遅れてしまい、脆弱性を悪用した攻撃につながってしまうケースが近年では増加しています。 Log4j の問題 が記憶に新しいでしょう。 SBOM とは、
SBOM:あなたのソフトウェアには何が含まれていますか? | Synopsys Blog
SBOM:あなたのソフトウェアには何が含まれていますか? Synopsys Editorial Team Jan 22, 2023 / 1 min read ソフトウェア部品表(SBOM)は、ソフトウェアやアプリケーションを構成する「コンポーネント」の一覧、つまり、「部品の一覧」です。現在、企業に SBOMの公開を求める圧力がかかっているのは、ソフトウェアに問題が発生した場合に誰が責任を負うかという問題が生じるからです。 SBOMを理解するためには食品の例が分かりやすいでしょう。例えば、私の手元のチョコチップクッキーの原材料の欄には、小麦粉、砂糖、バター、チョコチップ、卵、バニラ、重曹、塩などが記載されています。さらにチョコレートチップには、砂糖、チョコレート、ココアバター、脱脂乳、乳脂肪、大豆レシチンが含まれていることが括弧書きされています。 もし、チョコレートチップに「汚染されたココア
ソフトウェア部品表の整備が急務--シノプシスが脆弱性検査動向を発表
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 日本シノプシスは1月25日、2022年に実施した2700件のソフトウェアのセキュリティテストについて結果の動向を発表した。対象アプリケーションの95%で脆弱(ぜいじゃく)性が検出されたと報告している。 テスト対象の内訳は、82%がウェブアプリケーションおよびシステム、13%がモバイルアプリケーション、残りはソースコードやネットワークシステム/アプリケーションになる。ペネトレーション(疑似侵入)テストや動的なアプリケーションセキュリティテスト(DAST)、モバイルアプリケーションセキュリティテスト(MAST)などの方法で、これらのアプリケーション検査を4300回以上実施したという。 これによると、調査対象の95%で何らかの脆弱性が検出(前
日本におけるソフトウェアサプライチェーンセキュリティとSBOMの目的
連載第1回の記事では、世界でソフトウェアサプライチェーンセキュリティにおける「規制」が生まれてきた背景となる事象を列挙しつつ、かつての排ガス規制と重ねて書いてみた。今回は視点を移し、日本での状況について振り返ってみたい。 ⇒連載「ソフトウェアサプライチェーンの守り方」バックナンバー サイバーセキュリティ関連規制の国際的な動き まずはサイバーセキュリティ関連の規制に関連する国際的な動きをおさらいしてみようと思う。 米国大統領令の「EO14028」とEUのCRA(Cyber Resilience Act)法案があることは第1回の記事で触れたが、それぞれ対象の広さが大きく異なっており、関連する「規則」※1)などの法令も多岐にわたっている(図1)。 ※1)EUで法令となった規制にはRegulationやDirectionなどがあり、それぞれ「規則」「指令」と訳される。なお、Regulation(規
ソフトウェア・サプライチェーンの脆弱性管理に求められるSBOMの必要性 | トレンドマイクロ
オンプレミスからクラウドへの移行をはじめ、ハイブリッドクラウド環境をシームレスに保護しながら、クラウドの利点を実現します。 詳しくはこちら
SBOMで始める脆弱性管理の実際 - NTT Communications Engineers' Blog
この記事は、 NTT Communications Advent Calendar 2022 1日目の記事です。 はじめに こんにちは。イノベーションセンターテクノロジー部門の西野と申します。 「Metemcyber」プロジェクトで、脅威インテリジェンスの運用や活用に関する研究開発をしています。 今回の記事では、SBOMを利用した脆弱性管理の取り組みについてご紹介します。 実は NTT Communications Advent Calendar に6年連続で寄稿しているので、そろそろ名前を覚えてあげてください。 SBOMとは? SBOMは「ソフトウェア部品表(Software Bill Of Materials)」と呼ばれるもので、一般的には特定のソフトウェアに含まれるコンポーネントの依存関係を記述するために利用されます。記述フォーマットとしてはSPDXやCycloneDXが有名です。
もうひとつの自動車セキュリティを学ぶセミナー 経済産業省 和平悠希氏[インタビュー] | レスポンス(Response.jp)
国連の枠組みであるWP29とその作業部会による自動車セキュリティの標準化が議論されている。セキュリティは次世代車両の設計、製造には不可欠な技術要素である。自動車セキュリティは、車両ハードに関するものとソフトウェアプロダクツとして見たものと両面で考える必要がある。 たとえば、SBOMという言葉を聞いたことがあるだろうか。また、リスク分析を行うとき、セキュリティ対策を実装するとき、車両をIoTデバイス、平たくいえば「家電」ととらえた視点は非常に重要だ。 自動車にまつわるセキュリティ対策の標準 WP29の議論は、機能安全の規格であるISO 26262と、それを車両に適応させたISO/SAE 21434。そして自動車製造に関するセキュリティマネジメントを規定したUN-R155、OTAを前提としたソフトウェアアップデート機能を規定したUN-R156といった規格が主なトピックとなる。だが、これは自動車
![もうひとつの自動車セキュリティを学ぶセミナー 経済産業省 和平悠希氏[インタビュー] | レスポンス(Response.jp)](https://cdn-ak-scissors.b.st-hatena.com/image/square/ce64d7e96d6dc420e7a237f39dbdaeab9b68cce8/height=288;version=1;width=512/https%3A%2F%2Fresponse.jp%2Fimgs%2Fogp_f%2F1803927.jpg)
IoT製品のセキュリティ対策のため、SBOM管理ソリューションを提供
デロイト トーマツは2022年9月15日、同社グループのデロイト トーマツ サイバーが、IoT(モノのインターネット)製品のセキュリティ対策を監視するための「SBOM(ソフトウェア部品表)管理ソリューション」を提供すると発表した。製品ライフサイクル全般にわたり、セキュリティ対策の危殆(きたい)化や脆弱(ぜいじゃく)性を管理する機能を備える。 同ソリューションは、IoT製品の企画、設計段階におけるセキュリティ機能の組み込みに加えて、対象製品の製品ライフサイクル全般にわたるセキュリティの確保を支援する。 具体的には、IoT製品の企画、開発段階でソフトウェアおよびハードウェアの部品表を登録し、インターネット上などでアップデートされる情報から自動的に脆弱性を検知する。対象が危険にさらされている状態(危殆化)や脆弱性を監視してユーザーに通知することで、関連部門が連携して対処可能になる。 また、製造や
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
日立ソリューションズ、ソフトウェア部品表を一元管理する「SBOM管理サービス」を提供
脆弱性管理クラウド「yamory」、ソフトウェア部品表(SBOM)のインポート機能を提供
Tanium SBOM、ソフトウェアサプライチェーンの脆弱性検出と修正 | ScanNetSecurity
