fbpx

ガートナーによるSBOMレポート:知っておくべき重要なポイント #aqua #セキュリティ #ガートナー #レポート #SBOM

この記事は1年以上前に投稿されました。情報が古い可能性がありますので、ご注意ください。

本ブログは「Aqua Security」社の技術ブログで2022年5月2日に公開された「 Gartner Report for SBOMs: Key Takeaways You Should Know 」の日本語翻訳です。

ガートナーによるSBOMレポート:知っておくべき重要なポイント


ガートナー社は、最近のレポート「Innovation Insight for SBOMs」の中で、SBOM(ソフトウェア部品表)を使用して、最新の高速な DevOps パイプラインを保護することの利点を強調しています。SBOM は、すべてのプロプライエタリおよびオープンソースコンポーネントを列挙することによって、ソフトウェアサプライチェーンの盲点を明らかにし、リスクの効果的な軽減を可能にします。この可視化なしでは、組織のソフトウェアサプライチェーンは、潜在的なセキュリティリスク、品質問題、コンプライアンスリスクにさらされたままとなります。

SBOMによるソフトウェアサプライチェーンのセキュリティの向上

最近、攻撃者は、ソフトウェア開発システム、オープンソースのアーティファクト、および DevOps パイプラインを標的としていて、ソフトウェアのサプライチェーンとそれらが関連する下流組織を危険にさらすことが多くなっています。最近、Apache Log4j の脆弱性が発見されたことで、ソフトウェア提供プロセスの穴が露わになりました。

このような攻撃の数が増え、巧妙になっていることに直面し、組織は、攻めと守りのソフトウェアサプライチェーンセキュリティ戦略をしっかりと策定する必要があります。サプライチェーンの様々なリスクを軽減するために、ガートナー社は SBOM の導入を推奨しています。

「SBOM は、ソフトウェアサプライチェーンにおけるプロプライエタリおよびオープンソースコードの可視性、透明性、セキュリティ、および完全性を向上させるものです。これらの利点を実現するために、ソフトウェアエンジニアリングのリーダーは、ソフトウェアデリバリライフサイクル全体を通してSBOMを統合する必要があります。」

twitter_link_icon Share on Twitter

SBOMの機能を実現する3つの要素

ガートナー社のレポートは、アメリカ合衆国商務省およびアメリカ合衆国国家電気通信情報管理庁(NTIA)が発表した、SBOM の最小限の基盤の概要を示しています。この基盤は、3つの重要なセクションから構成されています。

データフィールド

NTIA によると、これらのフィールドは、サプライチェーン全体でコンポーネントを追跡し、脆弱性データベースやライセンスデータベースのような他の有益なデータソースにマッピングするため、コンポーネントを十分に識別できる必要があるとしています。サプライヤー名、コンポーネント名、コンポーネントのバージョン、依存関係、SBOM データの作成者などのフィールドが一般的に提供されます。

自動化のサポート

このセクションでは、組織が組織の境界を越えて SBOM を送信するときに使用しなければならない3つの報告フォーマットを特定しています。NTIA は、人間が読めること、機械が読めること、主要データフィールドの相互運用が可能なこと、共通のデータ構文表現を使用することから、これら3つのフォーマットを選択しました。特定された形式は、ソフトウェアパッケージデータ交換(SPDX)、CycloneDX、およびソフトウェア識別(SWID)タグです。

プラクティスとプロセス

NTIA は、SBOM の更新、配信方法や時期について6つの要件を概説しています。SBOM は、ソフトウェアコンポーネントが新しいビルドまたはリリースで更新されるたびに作成されなければならず、トップレベルのコンポーネントとその依存関係の両方を含む必要があります。その上で、要件には、既知の未知数の管理、配布と配信、アクセス制御、ミスの許容に関するガイドラインが含まれています。

この3つの要素は、アメリカ合衆国連邦政府と仕事をする企業には必要なものです。しかし、あらゆる規模の企業で、ソフトウェアの衛生管理として採用することが推奨されています。

SBOMの必要性

複数のチームと迅速なリリースサイクルが存在する複雑な DevSecOps 環境では、ソフトウェアのサプライチェーンに潜むリスクを完全に可視化することは困難です。SBOM は、組織がそのようなリスクを軽減するのに役立ちます。これによって、アプリケーションで使用されるソフトウェアコンポーネントの透明性を確保し、潜在的な脆弱性の特定と修正を迅速化することで、政府規制への準拠を実現します。

最新のクラウドネイティブアプリケーションは、ソフトウェア開発ライフサイクル全体にわたって多数のオープンソースコンポーネントを使用して構築されているため、SBOM はソフトウェアサプライチェーンの信頼性を確保するために不可欠なものとなってきています。

Aqua の Argon Supply Chain Security で SBOM を試してみる


ソフトウェアサプライチェーンセキュリティのリーディングカンパニーであり、市場のパイオニアである Argon(現在は Aqua Security の傘下)は、2021年に特許出願中の Code Integrity Engine におけるコード改ざん防止の一環として、SBOM マニフェストソリューションを最初にリリースしています。Argon SBOM マニフェストにより、チームはアーティファクト開発プロセスにおいて依存関係を特定し、主要なリスクを検出できます。これにより、アーティファクトの厳密なセキュリティ評価の実装と、発見されたセキュリティ脅威の効果的な緩和が可能になります。

SBOM の詳細については、ガートナー社のレポート全文をご覧ください。これから SBOM を使用して DevSecOps プロセスを充実させるつもりであれば、Argon を試してみてください。

Gartner Report Innovation Insight for SBOMs

New call-to-action

新規CTA