総務省 SBOM 対応ノスゝメ | ScanNetSecurity総務省と SBOM という組み合わせの妙に加え、雑多な雰囲気の会場でおカタい話、もしかして参加者はかなり少ないんじゃないか、などと多少イジワルな気持ちも相まって興味が沸いた筆者は、2023 年 6 月 14 日、この講演に足を運ぶことにした。
サイバー攻撃への備えを!「SBOM」(ソフトウェア部品構成表)を活用してソフトウェアの脆弱性を管理する具体的手法についての改訂手引(案)を公表します (METI/経済産業省)
ホーム ニュースリリース ニュースリリースアーカイブ 2024年度4月一覧 サイバー攻撃への備えを!「SBOM」(ソフトウェア部品構成表)を活用してソフトウェアの脆弱性を管理する具体的手法についての改訂手引(案)を公表します サイバー攻撃への備えを!「SBOM」(ソフトウェア部品構成表)を活用してソフトウェアの脆弱性を管理する具体的手法についての改訂手引(案)を公表します 「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引ver2.0(案)」の意見公募を開始します 経済産業省は、ソフトウェアサプライチェーンが複雑化する中で、急激に脅威が増しているソフトウェアのセキュリティを確保するための管理手法の一つとして「SBOM」(ソフトウェア部品表)に着目し、企業による利活用を推進するための検討を進めてきました。2023年7月には、ソフトウェ
トヨタは供給網でSBOMフォーマットを統一、ルネサスはセキュリティー管理に工夫
「全企業・全組織にとっての悩みだと思うが、ソフトウエアの規模が非常に大きくなっている。どう見える化するかは社会課題だ。SBOM(Software Bill of Materials、エスボム)はこの課題に対応する手段になる」――。トヨタ自動車の担当者はこう語る。 2024年1月、トヨタ自動車はOSS(オープンソースソフトウエア)の推進組織「オープンソースプログラムグループ」を新設した。いわゆるOSPO(Open Source Programs Office)だ。人員は約10人。新組織の設置で、SBOMの作成や活用に関する活動も推進しやすい形になりつつある。 トヨタ自動車はこれまでもSBOMを利用してきた。検討を始めたのは2018年ごろ。目的は、当時採用が増えてきたOSSのライセンス条件を守ることだった。ソフトウエアの中身を適切に理解するために、SBOMが必要だったわけだ。脆弱性の管理にも利
ゼロから理解する「SBOM」、ソフトウェアの脆弱性リスク低減に役立つ運用ガイド
現在、世の中の様々なものがIT化されることが当たり前になった。特に、電子制御や情報連携の機能が発達した自動車や医療機器などはその代表格と言える。そして、それらを構成するソフトウェアは多種多様な制御をすることもあり、非常に大規模なものとなっている。また、そのような大規模なソフトウェアを構成する部品として、OSS(オープンソースソフトウェア)がその過半を占めるようになってきている。 OSSはソースコードが公開されていることだけでなく、既に稼働実績が一定数あることから、上記のような工業製品の「品質」と「コスト競争力」そして「開発スピード」を保ちながらリリースするために無くてはならないものになっている。しかし、多くの人が使うソフトウェアということもあり、攻撃者の標的となりやすい。その結果、OSSに脆弱性が見つかった場合、その都度迅速な対応を迫られるようになった。 しかも、工業製品はITにおけるソフ
NTTら10社がセキュリティ推進団体を設立--SBOMの課題解決と活用へ
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます NTTら国内外の情報通信およびIT系10社が2月16日、サプライチェーンセキュリティを推進する新団体「セキュリティ・トランスペアレンシー・コンソーシアム」を設立したと発表した。製品やシステム、サービスなどを「つくる側(開発や構築、提供)」が作成・提供した可視化データを利用する際に直面する問題について「つかう側(ユーザー)」からとりまとめ、その問題解決に取り組むという。 新団体には、アラクサラネットワークス、NRIセキュアテクノロジーズ、NTTデータグループ、FFRIセキュリティ、シスコシステムズ、東京エレクトロン、NEC、NTT、日立製作所、 三菱電機が参加する。またNTTでは、グループ企業のNTT東西、NTTドコモ、NTTコミュニケー
「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引」を策定しました (METI/経済産業省)
【2023年7月28日発表資料差し替え】「ソフトウェア管理に向けたSBOMの導入に関する手引きVer1.0」に関して、ページ番号の記載がなかったため追記しました。 経済産業省は、ソフトウェアサプライチェーンが複雑化する中で、急激に脅威が増しているソフトウェアのセキュリティを確保するための管理手法の一つとして「SBOM」(ソフトウェア部品表)に着目し、企業による利活用を推進するための検討を進めてきました。今般、主にソフトウェアサプライヤー向けに、SBOMを導入するメリットや実際に導入するにあたって認識・実施すべきポイントをまとめた手引書を策定しましたのでお知らせします。 本手引の普及により企業におけるSBOMの導入が進むことで、ソフトウェアの脆弱性への対応に係る初動期間の短縮や管理コストの低減など、ソフトウェアの適切な管理が可能となり、企業における開発生産性が向上するだけでなく、産業界におけ
日本でもSBOM整備は義務化されるのか? OSS管理をめぐる、国際動向と今後の方向性
脆弱性のリスクが高いOSSとは 渡邊歩氏(以下、渡邊):みなさま、ご質問を投稿いただけましたでしょうか。それでは三田さま、もう一度お戻りいただきまして、みなさまからのご質問にお答えいただきたいと思います。 実は非常にたくさんご質問をいただいておりますので、みなさまが本当に興味のある分野ということがわかるかと思います。それでは1つずつ、三田さまにご回答いただきます。 まず1つ目のご質問です。「OSSの中でも脆弱性の対応頻度の高いものは、SBOMでトレースする意義が高いと思うのですが、そのようなOSSごとの更新頻度、脆弱性の対応頻度などの情報はお持ちではありませんか?」。こちらはいかがでしょうか。 三田真史氏(以下、三田):「OSSごとの」というところで、脆弱性頻度が高いものは確かに一部あるかなと思っております。SBOMなどを使って可視化していくことは重要だと思いますが、例えば脆弱性情報が出た
SBOMの2大フォーマット「SPDX」「CycloneDX」の違いとは?
本連載では、オープンソースソフトウェア(OSS)の利活用に伴う「ライセンスリスク」と、それをマネジメントするための活動である「OSSコンプライアンス」について取り上げ、エンジニアの方がOSSをスムーズに利用するための実務上の勘所や、これから戦略的にOSSを活用していきたいと考えている企業の方へのヒントとなる情報を紹介しています。 今回からは、「SBOM(Software Bill of Materials:ソフトウェア部品表)」についての本格的な解説に入ります。SBOMは、広義では「ソフトウェアのリスト」あるいは「OSSのリスト」です。本連載でも、これまでに社内でOSSのリストを管理しながらプロジェクトを進行する場面がありました。 しかし、複数のパートナー企業と協力して、サプライチェーンにおけるコンプライアンスおよびセキュリティ担保の取り組みを進めるには、情報内容や記述形式の統一、さらには
SBOM in Action: 「ソフトウェア部品表」で脆弱性を見つける
.app 1 .dev 1 #11WeeksOfAndroid 13 #11WeeksOfAndroid Android TV 1 #Android11 3 #DevFest16 1 #DevFest17 1 #DevFest18 1 #DevFest19 1 #DevFest20 1 #DevFest21 1 #DevFest22 1 #DevFest23 1 #hack4jp 3 11 weeks of Android 2 A MESSAGE FROM OUR CEO 1 A/B Testing 1 A4A 4 Accelerator 6 Accessibility 1 accuracy 1 Actions on Google 16 Activation Atlas 1 address validation API 1 Addy Osmani 1 ADK 2 AdMob 32 Ads
ソフトウェア品質とセキュリティ品質の温故知新――先人たちの築いた指標に学ぶ脆弱性対策【デブサミ2021】
脆弱性を管理するためにはSBOMが有効 SQuBOKやBSIの設立背景や目的を語った後、松岡氏は「体系的な知識や仕組みを用いてソフトウェアの品質を管理していくことは非常に重要」と述べる。そのうえで、脆弱性を管理するためにはSBOM (Software bill of materials:ソフトウェア部品表)を用いることが有効なのではないか、というアイデアを示した。 SBOMはコードベースに存在するすべてのオープンソースおよびサードパーティ・コンポーネントの一覧のことだ。SBOMには各コンポーネントのライセンスの種別や、コードベースで使用されるコンポーネントのバージョン、それらのパッチの提供状況も記述される。 SBOMを保守することで、ソフトウェアを構成するソースコードが高品質かつ定められた規格や規制に準拠しており、安全であることを保証できる。このように、ソフトウェアがどのような要素から構成
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
自組織のSBOM管理ツール選定の参考になる? 米国家安全保障局が公開した「SBOM管理のための推奨事項」【海の向こうの“セキュリティ”】
SBOM in Action: finding vulnerabilities with a Software Bill of Materials