いかに「SBOM」を関係者間で共有するか - 米CISAがレポート
米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は、「ソフトウェア部品表(SBOM)」を共有するライフサイクルについてレポートを取りまとめ、公開した。
「SBOM」の生成に関しては議論が行われるようになったが、共有については議論が進んでいないとして、作成者と利用者間における「SBOM」の共有方法について紹介し、組織に応じたソリューションの導入を支援する目的でレポートを取りまとめたもの。
「SBOM共有ライフサイクル」として、利用者が「SBOM」の存在を認識するまでの「発見」、データの参照に対する認可をいかに行うかといった「アクセス」、データを受け渡す「転送」など、作成者から消費者に情報がわたる各フェーズについて説明している。
手動で対応したり、個々で対応を進める原始的な方法から、自動化された洗練された方法まで紹介。「SBOM」の共有にあたり組織に則したソリューションを選択するための情報を提供するとともに、自動化された方法を検討することなども推奨している。
またインタビュー調査を実施し、21組織から得られた回答をもとに取り組み状況を紹介。現状は、メールや非公式なコミュニケーションのもと直接送信するといった方法を採用しているといった回答のほか、既存顧客向けウェブポータルを利用し、ログインした顧客に対して「SBOM」をはじめとする技術情報を提供しているとの回答も寄せられた。
またクラウドや分散型台帳技術を使用し、より高度に非公開でデータを共有するソリューションやサービスの構築に向けた取り組みなどへも言及している。
(Security NEXT - 2023/04/18 )
ツイート
PR
関連記事
ランサム被害、委託先の設定ミスが侵入経路に - 不動産仲介会社
農業高校で生徒の個人情報含む教務手帳が所在不明 - 東京都
案内メールで誤送信、顧客のメアド流出 - ペットフード会社
ビデオ会議の「Zoom」、9月の定例アドバイザリは1件のみ
「WordPress」向けLMS構築プラグインに複数のSQLi脆弱性
顧客情報を用いた脅迫容疑で従業員が逮捕 - 東北電力子会社
GitLab、クリティカルパッチを公開 - 脆弱性17件に対応
専門学校生対象のセキュリティコンテスト - 課題は「ASMツール」
ビデオ会議の「Zoom」にアドバイザリ - 誤公開の可能性も
「Cisco IOS XR」など複数Cisco製品に脆弱性