ソフトウェアの「成分表」を作成することは、組織がサイバーリスクを低減し、罰金を回避し、時間を節約するなどの利点があると、サイバーセキュリティ・インフラセキュリティ庁(CISA)主導で水曜日に発表されたガイドが助言しています。
CISAが国家安全保障局(NSA)および他14カ国のサイバー機関と共同で作成したこの文書は、ソフトウェア部品表(SBOM)として知られる概念の推進に関する共通のビジョンを示すことを目的としています。これはほぼ普遍的に称賛されているアイデアですが、その実装は理論的価値の受け入れに追いつこうとしている段階です。
ガイドの中で、各機関はSBOMを、ソフトウェアメーカーがセキュリティを後付けではなく設計プロセスの一部として実装するセキュア・バイ・デザインの原則を採用する手段として推奨しています。
「政府や産業界が直面する絶え間なく進化するサイバー脅威は、ソフトウェアサプライチェーンとその構成要素のセキュリティ確保の重要性を強調しています」と、CISAの暫定ディレクターであるMadhu Gottumukkala氏は、ガイドの発表に伴うニュースリリースで述べました。「SBOMの広範な採用は、セキュア・バイ・デザインのソフトウェア推進、レジリエンスの強化、リスクとコストの測定可能な削減における不可欠なマイルストーンです。」
「このガイドは、国際協力の力がセキュリティを強化し信頼を構築する具体的な成果をもたらすことを示し、強調しています」と彼は述べました。「私たちは共に、ソフトウェアサプライチェーンのセキュリティを推進し、比類なき透明性を実現することで、ソフトウェアの作成と利用における意思決定を根本的に改善しています。」
このガイドの公開は、CISAが最近発表したSBOMに関する連邦機関向けガイドラインの更新に続くものであり、そのルールは先月発表された際に賛否両論を受けました。
水曜日のガイドは、SBOM実装に向けた統一的なアプローチを目指しています。
「異なる実装は、SBOMの広範な採用や持続可能な実装を妨げる可能性があります。SBOMに対する調整された統一的なアプローチは、コストや複雑性を低減しつつ効果を高めます」とガイドは述べています。「業界、地域、国を超えて広く利用されることで、サプライチェーンの可視化はすべての人にとってより良い『成分』をもたらし、既知のリスクが早期に対処されることを保証します。SBOMの採用は、ソフトウェアをセキュア・バイ・デザインとするための不可欠な条件です。」
ガイドによれば、SBOMは脆弱性管理に役立ち、組織が脆弱性発生時にそれをより適切に追跡できるようにし、不具合の修正をより迅速かつ効率的に行えるようにします。また、組織が業界固有のポリシーや政府規制に準拠し、ソフトウェア購入に関する意思決定を行うのにも役立ち、その結果ベンダーがサイバーリスクにより注意を払うよう促します。さらに、SBOMは組織がソフトウェアライセンスを管理するのにも役立ち、オープンソースライセンス違反が罰金や評判の低下を招くこともあります。
このガイドは、ソフトウェアメーカー、購入者、運用者、そして政府のサイバーセキュリティ機関がSBOMを採用することを推奨しています。
オーストラリア、カナダ、チェコ共和国、フランス、ドイツ、インド、イタリア、日本、オランダ、ニュージーランド、ポーランド、シンガポール、韓国が、ガイド作成に参加した他の国々です。
翻訳元: https://cyberscoop.com/cisa-guide-seeks-a-unified-approach-to-software-ingredients-lists/