いかに「SBOM」を関係者間で共有するか - 米CISAがレポート

米サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）は、「ソフトウェア部品表（SBOM）」を共有するライフサイクルについてレポートを取りまとめ、公開した。

「SBOM」の生成に関しては議論が行われるようになったが、共有については議論が進んでいないとして、作成者と利用者間における「SBOM」の共有方法について紹介し、組織に応じたソリューションの導入を支援する目的でレポートを取りまとめたもの。

「SBOM共有ライフサイクル」として、利用者が「SBOM」の存在を認識するまでの「発見」、データの参照に対する認可をいかに行うかといった「アクセス」、データを受け渡す「転送」など、作成者から消費者に情報がわたる各フェーズについて説明している。

手動で対応したり、個々で対応を進める原始的な方法から、自動化された洗練された方法まで紹介。「SBOM」の共有にあたり組織に則したソリューションを選択するための情報を提供するとともに、自動化された方法を検討することなども推奨している。

またインタビュー調査を実施し、21組織から得られた回答をもとに取り組み状況を紹介。現状は、メールや非公式なコミュニケーションのもと直接送信するといった方法を採用しているといった回答のほか、既存顧客向けウェブポータルを利用し、ログインした顧客に対して「SBOM」をはじめとする技術情報を提供しているとの回答も寄せられた。

またクラウドや分散型台帳技術を使用し、より高度に非公開でデータを共有するソリューションやサービスの構築に向けた取り組みなどへも言及している。

（Security NEXT - 2023/04/18 ） ツイート

PR

関連記事

教員がサポート詐欺被害、NAS内の個人情報が流出か - 山形大付属中
市バスのドラレコ映像が保存されたUSBメモリが所在不明 - 川崎市
がん検診クーポン券に別人の住所、委託事業者のミスで - 横須賀市
個人情報流出の可能性、高負荷から事態を把握 - 楽待
Perl向け暗号ライブラリ「CryptX」に複数脆弱性
監視ソフト「IBM Tivoli Monitoring」にRCE脆弱性 - 早急に更新を
掲示板ツール「vBulletin」に深刻な脆弱性 - 実証コードや悪用も
ZohoのExchange監視ツールに深刻な脆弱性 - アップデートを
委託先で個人情報流出か、セキュリティ監査に虚偽報告 - ソフトバンク
「Wazuh」や「Windows WEBDAV」の脆弱性悪用に注意