NRIセキュア、ソフトウェアサプライチェーンのセキュリティ対策として注目される、「SBOM」の導入支援サービスを提供開始
[24/01/30]
提供元:PRTIMES
提供元:PRTIMES
NRIセキュアテクノロジーズ株式会社(以下、NRIセキュア)は、「サプライチェーントラストサービス」[i]のラインナップの一つとして、「SBOM導入支援サービス(以下、本サービス)」の提供を、本日開始します。本サービスは、ソフトウェアを含む製品・サービスを開発・運用する企業・組織に対して、脆弱性管理を目的としたSBOM(Software Bill Of Materials、ソフトウェア部品表)の導入を幅広く支援するものです。
■SBOM(ソフトウェア部品表)の導入が求められる背景
SBOMとは、製品・サービスのソフトウェアを構成するライブラリなどのコンポーネント(ソフトウェア部品)およびそれらの依存関係などの情報を含む一覧表です。SBOMを活用することでソフトウェアが使用するオープンソースソフトウェア(OSS)[ii]の脆弱性などのリスクについて検証が可能になるため、ソフトウェアサプライチェーン全体のセキュリティ向上が期待できます。
ソフトウェアの脆弱性を悪用したサイバー攻撃の増加・深刻化をうけて発令された米国大統領令(EO14028)[iii]をきっかけに、SBOMに注目が集まっています。さらに、「EUサイバーレジリエンス法(CRA)」[iv]、「医療機器サイバーセキュリティの原則及び実践(IMDRFガイダンス)」[v]をはじめとする法規・ガイドラインによりSBOMの導入が義務化される見通しです。また、経済安全保障の分野でもSBOMの重要性が高まっています。
■本サービスの概要
本サービスは、SBOMを活用した脆弱性管理を実現するために、製品・サービスの開発・運用プロセスへのSBOMの導入計画作成から導入、PoC(Proof of Concept、概念実証)、課題解決のためのアドバイザリまで、幅広く支援します。
提供する支援内容の例は、以下の通りです。これらの他にも、要望に応じてPSIRT[vi]やCSIRT[vii]の構築・強化や、SBOM関連の法規・ガイドラインの対応についても支援することが可能です。
1.SBOM生成プロセスの構築支援
製品やそれを構成するコンポーネントをもとにSBOM生成の対象を整理しつつ、適切なSBOM生成ツールを選定・提案し、その導入やPoCを支援します。製品の開発プロセスにおいてSBOMを生成できるようにするだけでなく、生成したSBOMの管理や関係先への提供などについても支援します。
2.SCA(ソフトウェア構成分析)の導入支援
製品・サービスの開発プロセスにおいては、リリースするソフトウェアに既知脆弱性が含まれないようにするための対策「SCA(ソフトウェア構成分析)」[viii]を行うことが推奨されます。ソフトウェアとそれらを構成するコンポーネントを対象にSBOMを活用した既知脆弱性の検出を可能にするSCAツールの導入を支援します。
3.脆弱性監視・対応プロセスの構築・強化支援
製品・サービスの運用プロセスにおいては、ソフトウェアのリリース後に発生する新たな脆弱性を監視し、脆弱性が発生した際にはその影響範囲を特定して適切に対応することが求められます。SBOMを活用したコンポーネント単位での脆弱性監視、脆弱性の影響範囲の特定を可能にする脆弱性監視ツールの導入や、脆弱性監視・対応プロセスの構築・強化を支援します。
本サービスの詳細については、次のWebサイトをご参照ください。
https://www.nri-secure.co.jp/service/consulting/sbom
NRIセキュアは今後も、企業・組織の情報セキュリティ対策を支援するさまざまな製品・サービスを提供し、安全・安心な情報システム環境と社会の実現に貢献していきます。
[i] NRIセキュアが提供する「サプライチェーントラストサービス」の詳細は、次のWebサイトをご参照ください。https://www.nri-secure.co.jp/news/2023/1220
[ii] オープンソースソフトウェア(OSS):ソースコードが公開され、利用や改変、再配布を行うことが可能なソフトウェアを指します。
[iii] 米国大統領令(EO14028):米国の連邦政府機関のサイバーセキュリティの改善に関する大統領令で、ソフトウェアサプライチェーンのセキュリティ対策の強化などを求めています。
[iv] EUサイバーレジリエンス法(CRA):EU域内で販売するデジタル製品のサイバーセキュリティ対応を義務付ける法律です。
[v] 医療機器サイバーセキュリティの原則及び実践(IMDRFガイダンス):医療機器に関するサイバーセキュリティ対策の一般原則とベストプラクティスを整理した国際的なガイダンスです。
[vi] PSIRT(Product Security Incident Response Team):製品のセキュリティ脆弱性に関わるリスクマネジメントや、セキュリティインシデント発生時の対応を行う組織を指します。
[vii] CSIRT(Computer Security Incident Response Team):サイバー攻撃をはじめとしたセキュリティインシデントの対応を行う組織を指します。
[viii] SCA(ソフトウェア構成分析):ソフトウェアを構成するコンポーネントを分析し、分析したコンポーネントに関連する既知脆弱性を検出するセキュリティ対策です。
■ご参考
NRIセキュアでは、サイバーレジリエンス(サイバー攻撃への耐性)・ソフトウェアサプライチェーンの領域におけるリスク対策を総合的に支援する「サプライチェーントラストサービス」を提供しています。サプライチェーントラストサービスの支援メニューについては、以下の一覧表をご参照ください。
表:「サプライチェーントラストサービス」における支援メニュー
[画像: https://prtimes.jp/i/52432/129/resize/d52432-129-75f48cbaaf42bc008385-0.jpg ]
■SBOM(ソフトウェア部品表)の導入が求められる背景
SBOMとは、製品・サービスのソフトウェアを構成するライブラリなどのコンポーネント(ソフトウェア部品)およびそれらの依存関係などの情報を含む一覧表です。SBOMを活用することでソフトウェアが使用するオープンソースソフトウェア(OSS)[ii]の脆弱性などのリスクについて検証が可能になるため、ソフトウェアサプライチェーン全体のセキュリティ向上が期待できます。
ソフトウェアの脆弱性を悪用したサイバー攻撃の増加・深刻化をうけて発令された米国大統領令(EO14028)[iii]をきっかけに、SBOMに注目が集まっています。さらに、「EUサイバーレジリエンス法(CRA)」[iv]、「医療機器サイバーセキュリティの原則及び実践(IMDRFガイダンス)」[v]をはじめとする法規・ガイドラインによりSBOMの導入が義務化される見通しです。また、経済安全保障の分野でもSBOMの重要性が高まっています。
■本サービスの概要
本サービスは、SBOMを活用した脆弱性管理を実現するために、製品・サービスの開発・運用プロセスへのSBOMの導入計画作成から導入、PoC(Proof of Concept、概念実証)、課題解決のためのアドバイザリまで、幅広く支援します。
提供する支援内容の例は、以下の通りです。これらの他にも、要望に応じてPSIRT[vi]やCSIRT[vii]の構築・強化や、SBOM関連の法規・ガイドラインの対応についても支援することが可能です。
1.SBOM生成プロセスの構築支援
製品やそれを構成するコンポーネントをもとにSBOM生成の対象を整理しつつ、適切なSBOM生成ツールを選定・提案し、その導入やPoCを支援します。製品の開発プロセスにおいてSBOMを生成できるようにするだけでなく、生成したSBOMの管理や関係先への提供などについても支援します。
2.SCA(ソフトウェア構成分析)の導入支援
製品・サービスの開発プロセスにおいては、リリースするソフトウェアに既知脆弱性が含まれないようにするための対策「SCA(ソフトウェア構成分析)」[viii]を行うことが推奨されます。ソフトウェアとそれらを構成するコンポーネントを対象にSBOMを活用した既知脆弱性の検出を可能にするSCAツールの導入を支援します。
3.脆弱性監視・対応プロセスの構築・強化支援
製品・サービスの運用プロセスにおいては、ソフトウェアのリリース後に発生する新たな脆弱性を監視し、脆弱性が発生した際にはその影響範囲を特定して適切に対応することが求められます。SBOMを活用したコンポーネント単位での脆弱性監視、脆弱性の影響範囲の特定を可能にする脆弱性監視ツールの導入や、脆弱性監視・対応プロセスの構築・強化を支援します。
本サービスの詳細については、次のWebサイトをご参照ください。
https://www.nri-secure.co.jp/service/consulting/sbom
NRIセキュアは今後も、企業・組織の情報セキュリティ対策を支援するさまざまな製品・サービスを提供し、安全・安心な情報システム環境と社会の実現に貢献していきます。
[i] NRIセキュアが提供する「サプライチェーントラストサービス」の詳細は、次のWebサイトをご参照ください。https://www.nri-secure.co.jp/news/2023/1220
[ii] オープンソースソフトウェア(OSS):ソースコードが公開され、利用や改変、再配布を行うことが可能なソフトウェアを指します。
[iii] 米国大統領令(EO14028):米国の連邦政府機関のサイバーセキュリティの改善に関する大統領令で、ソフトウェアサプライチェーンのセキュリティ対策の強化などを求めています。
[iv] EUサイバーレジリエンス法(CRA):EU域内で販売するデジタル製品のサイバーセキュリティ対応を義務付ける法律です。
[v] 医療機器サイバーセキュリティの原則及び実践(IMDRFガイダンス):医療機器に関するサイバーセキュリティ対策の一般原則とベストプラクティスを整理した国際的なガイダンスです。
[vi] PSIRT(Product Security Incident Response Team):製品のセキュリティ脆弱性に関わるリスクマネジメントや、セキュリティインシデント発生時の対応を行う組織を指します。
[vii] CSIRT(Computer Security Incident Response Team):サイバー攻撃をはじめとしたセキュリティインシデントの対応を行う組織を指します。
[viii] SCA(ソフトウェア構成分析):ソフトウェアを構成するコンポーネントを分析し、分析したコンポーネントに関連する既知脆弱性を検出するセキュリティ対策です。
■ご参考
NRIセキュアでは、サイバーレジリエンス(サイバー攻撃への耐性)・ソフトウェアサプライチェーンの領域におけるリスク対策を総合的に支援する「サプライチェーントラストサービス」を提供しています。サプライチェーントラストサービスの支援メニューについては、以下の一覧表をご参照ください。
表:「サプライチェーントラストサービス」における支援メニュー
[画像: https://prtimes.jp/i/52432/129/resize/d52432-129-75f48cbaaf42bc008385-0.jpg ]