ベリサーブ、ソフトウェアサプライチェーン管理パッケージ「SBOM.JP」発表
マイナビニュース / 2024年9月6日 18時58分
ベリサーブは9月6日、10月より、SaaS型のソフトウェアサプライチェーン管理パッケージ「SBOM.JP(エスボムジェイピー)」の提供を開始すると発表した。同社は新製品発表に伴い、説明会を開催した。
攻撃者視点のセキュリティ対策に向け、SBOMの活用を
SBOM(Software Bill Of Materials)は直訳すると「ソフトウェア部品表」となり、製品に含まれるソフトウェアをリスト化したものを指す。SBOMの活用によりライセンス情報や脆弱性の管理を行うことが可能で、特に、OSS(Open Source Software)を利用する製造業などで需要が高まっているという。
説明会では、大阪大学 情報セキュリティ本部 猪俣敦夫教授が、「ソフトウェアの視える化により変革する社会システムとどう付き合うべきか」というテーマの下、基調講演を行った。
冒頭、猪俣教授は、「一歩間違うと攻撃につながることから、サイバー攻撃を研究できないが、これこそ、日本がセキュリティで後れを取っている原因の一つ。攻撃者の視点で守らず、境界防御と続けてきたのが立ち遅れの原因。次の世代は、攻撃者の視点で防御を考える必要がある」と語った。
猪俣教授は、攻撃者視点でセキュリティを考える上で、「ソフトウェアは脆弱性を抱えていることを前提とする必要がある」と指摘した。そんなソフトウェアを防御するにはその内容を知っている必要があるが、簡単なことではない。
EU領域では、食品の原材料をもとに「Nutri-Score」という評価が表示されている。A~Eまでの5段階で表示されており、Eは危険を意味する。猪俣教授は、この世界観をコンピュータにも持っていく必要があると述べた。
有償、無償を問わず、OSSも含めてソフトウェアには、「コンポーネント群の詳細」「ライブラリなどの依存関係」「サプライチェーンの関係」が含まれている。猪俣教授は、「これらを記録できれば、カルテのような役割を果たす」と語った。
さらに、猪俣教授は「ソフトウェアの詳細は、わからなくて当たり前であり、脆弱性が発見された場合、その影響範囲や規模の推定は困難であるのが当たり前」と話した。
その例として、Apache Log4jとXZ Utilsの脆弱性が紹介された。いずれもOSSに関連した脆弱性であるがゆえに、どこまで含まれているかを調べることは大変手がかかり、いわば「長距離マラソン」のようなものとも言われているという。
この記事に関連するニュース
-
ソフトウェア品質を創造するベリサーブ、 ソフトウェアサプライチェーン管理パッケージ「SBOM.JP」を10月より提供開始
PR TIMES / 2024年9月6日 12時45分
-
日進機工、ソフトウェアサプライチェーン攻撃への対策強化にBlackBerry CylanceMDRを採用
PR TIMES / 2024年9月4日 16時45分
-
Forbes Global 2000企業の99%がサプライチェーンの侵害に直接関与
Digital PR Platform / 2024年9月2日 14時0分
-
経済産業省「ソフトウェア管理に向けたSBOMの導入に関する手引ver2.0」解説セミナー
PR TIMES / 2024年8月30日 16時45分
-
SecurityScorecard2024年 世界の航空業界に関するサイバーセキュリティレポートを発表:国家に支援を受けている攻撃とサプライチェーンに対するサイバーリスクが今後の大きな混乱を示唆
Digital PR Platform / 2024年8月28日 15時2分
ランキング
-
1ビックカメラECサイト、基本送料無料になっていた。9月2日〜
マイナビニュース / 2024年9月6日 16時45分
-
2任天堂が「オンラインプレイ」での道徳的マナーを呼びかけ 「相手への思いやりが大切」「自分がされて嫌なことはしない」
ねとらぼ / 2024年9月6日 20時15分
-
3iPhoneの買取には、専門店・アップル・フリマアプリのどれがいい? メリット・デメリットを解説!
ASCII.jp / 2024年9月6日 12時0分
-
4グーグル、Androidの“重大”な脆弱性を修正するアップデート 早めに更新を
ASCII.jp / 2024年9月5日 12時30分
-
5【100均】キャンドゥで買えるこれ、天才か……! 関係者歓喜のアイテムが650万表示「これは便利」「思わず電話して“どこで売ってるんですか!?”って聞いちゃったやつ!」
ねとらぼ / 2024年9月6日 17時45分
複数ページをまたぐ記事です
記事の最終ページでミッション達成してください