いかに「SBOM」を関係者間で共有するか - 米CISAがレポート

米サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）は、「ソフトウェア部品表（SBOM）」を共有するライフサイクルについてレポートを取りまとめ、公開した。

「SBOM」の生成に関しては議論が行われるようになったが、共有については議論が進んでいないとして、作成者と利用者間における「SBOM」の共有方法について紹介し、組織に応じたソリューションの導入を支援する目的でレポートを取りまとめたもの。

「SBOM共有ライフサイクル」として、利用者が「SBOM」の存在を認識するまでの「発見」、データの参照に対する認可をいかに行うかといった「アクセス」、データを受け渡す「転送」など、作成者から消費者に情報がわたる各フェーズについて説明している。

手動で対応したり、個々で対応を進める原始的な方法から、自動化された洗練された方法まで紹介。「SBOM」の共有にあたり組織に則したソリューションを選択するための情報を提供するとともに、自動化された方法を検討することなども推奨している。

またインタビュー調査を実施し、21組織から得られた回答をもとに取り組み状況を紹介。現状は、メールや非公式なコミュニケーションのもと直接送信するといった方法を採用しているといった回答のほか、既存顧客向けウェブポータルを利用し、ログインした顧客に対して「SBOM」をはじめとする技術情報を提供しているとの回答も寄せられた。

またクラウドや分散型台帳技術を使用し、より高度に非公開でデータを共有するソリューションやサービスの構築に向けた取り組みなどへも言及している。

（Security NEXT - 2023/04/18 ） ツイート

PR

関連記事

「PAN-OS」に対するゼロデイ攻撃、国内被害は未確認
「PAN-OS」を狙う「Operation MidnightEclipse」 - 3月下旬より展開
Palo Alto Networksの「PAN-OS」にゼロデイ脆弱性 - パッチを準備中
サポート詐欺で患者情報含むPCが遠隔操作できる状態に - 富田林病院
イベント申込フォームで設定ミス、個人情報が閲覧可能に - 会津若松市
学校で個人情報含む入学関係書類を誤廃棄 - 横須賀市
人材育成プログラム「SecHack365」が応募受付をまもなく開始
フィッシングURLが前月比約84％増 - 使い捨てURLを悪用
【特別企画】経営戦略に資するセキュリティを学ぶ「情報システムCAMP2024」が4月18日開催
工場スマート化のリスクや対策を解説したガイドライン別冊資料