米国サイバーセキュリティ庁(CISA)は、ソフトウェア部品表(SBOM)の最小要素に関する更新ガイダンスについて、一般からの意見を募集しています。
2021年のNTIA SBOM最小要素を基にしたこのガイダンス(PDF)は、サプライチェーンセキュリティやソフトウェアの透明性における変化を反映しており、組織がソフトウェアリスクをより効率的に管理できるよう支援することを目的としています。
SBOMは、組織にソフトウェアコンポーネントの詳細なインベントリを提供し、脆弱性の特定、リスク評価、導入・利用するアプリケーションに関する情報に基づいた意思決定を支援します。
「SBOMの導入が官民両セクターで拡大する中で、スケーラブルな実装やより広範なサイバーセキュリティ実践への統合を支える機械処理可能なフォーマットの必要性も高まっています」とCISAは述べています。
このドラフトガイダンスは、SBOMの利点やその実装によるソフトウェアコンポーネントの透明性向上について詳述しており、すべてのSBOMが満たすべき基準となる技術や実践を定める最小要素がセキュリティを推進していると主張しています。
最小要素は、「データフィールド」「自動化サポート」「実践とプロセス」の3つのカテゴリに分けられています。
ガイダンスによれば、SBOMの中核には、各ソフトウェアコンポーネントに関する情報がデータフィールド内に構造化されており、ソフトウェアサプライチェーン全体でコンポーネントを特定・追跡し、脆弱性データベースなどの様々なデータソースにマッピングするのに役立ちます。
SBOMには、SBOM作成者、ソフトウェア製造者、コンポーネント名、コンポーネントバージョン、ソフトウェア識別子、コンポーネントハッシュ、ライセンス、依存関係、SBOM生成に使用したツール名、タイムスタンプ、生成コンテキストなどのデータフィールドが含まれるべきです。
広告。スクロールして続きをお読みください。
ガイダンスによれば、自動化への対応は大規模なソフトウェアコンポーネント管理に不可欠であり、互換性のあるSBOM間で実現されています。自動化の最小サポートには、広く利用されているオープンソースで互換性のあるデータフォーマットへの対応が含まれます。
現在、ソフトウェアエコシステムで広く利用されているデータフォーマットは、Software Package Data eXchange(SPDX)とCycloneDXの2つであり、どちらも機械処理可能かつ人間が読める形式です。
「SBOMの利用に関する組織の実践やプロセスは、SBOMをソフトウェア開発ライフサイクルに統合するべきです。組織は、SBOMの要求や提供に関するあらゆる方針、契約、取り決めの中で、これらの要素を明確に扱うべきです」とガイダンスは述べています。
組織が検討すべきSBOM統合要素には、生成頻度、カバレッジ、不明な依存関係情報、配布と提供、SBOMデータの更新への対応などが含まれます。
CISAの更新ガイダンスはまた、クラウドやAIソフトウェアにおけるSBOMの実装、SBOMデータの検証、セキュリティアドバイザリとの相関についても取り上げています。
「新たなユースケースの出現や技術の進化に伴い、SBOMの最小要素も進化し続け、ソフトウェアコンポーネントの透明性を提供し続ける必要があります。SBOM自体はソフトウェアコンポーネントに関するデータにすぎません。SBOMの分析によって、関連するリスクに関する洞察が得られます」とガイダンスは述べています。
CISAは、更新ガイダンスに関するパブリックコメントの受付を8月22日に開始しました。関心のある方は、連邦官報を通じて、2025年10月3日までに意見を提出できます。
関連記事: MITRE、最も一般的なハードウェアの脆弱性リストを更新
関連記事: 厳しいサイバーセキュリティ予算がAI主導の防御への移行を加速
翻訳元: https://www.securityweek.com/cisa-requests-public-feedback-on-updated-sbom-guidance/