IT製品導入に関する技術資料を多数掲載 ホワイトペーパーダウンロードセンター
ソフトウェアサプライチェーン攻撃対策の中核、「SBOM」を正しく理解する
ソフトウェアベンダーなどに侵入し、広範な侵害を狙うサプライチェーン攻撃に対して、組織はいかに備えるべきか。その重要な取り組みの1つが、ソフトウェアの構成要素を網羅したSBOMだ。正しく作成するポイントを詳しく紹介する。
コンテンツ情報
| 公開日 | 2022/07/19 | フォーマット | 種類 | 製品資料 |
|
|---|---|---|---|---|---|
| ページ数・視聴時間 | 8ページ | ファイルサイズ | 932KB | ||
要約
2020年に発生したSolarWinds事件以降、大きく注目を集めることになったソフトウェアサプライチェーン攻撃。これはベンダーが顧客に提供する前段階で、ソフトウェアやアップデートファイルに悪意のあるコードを仕込み、全ての顧客のシステムやデータを侵害する攻撃手法だ。SolarWindsの事例では実に1万8000を超える組織が影響を受けた。
こうした攻撃を防ぐには、ライブラリやモジュールなど、ソフトウェアの構築時に使用する各種コンポーネントの詳細とサプライチェーンの関係を正式に記録した、ソフトウェアの部品表(SBOM)が欠かせない。SBOMによって透明性が確保されることで、開発者や購入者、運用者が既知の脆弱性と新たな脆弱性を追跡・修正しやすくなるからだ。
こうしたニーズを受けて、多数のオープンソースコンポーネントのインベントリ作成ツールが市場で提供されているが、リスク対処の方法が示されない、特定の言語やパッケージにしか対応してないなどSBOM作成に適していないものもある。本資料では、SBOMを正しく作成し、そのメリットを享受するための方法を基礎から解説する。
こうした攻撃を防ぐには、ライブラリやモジュールなど、ソフトウェアの構築時に使用する各種コンポーネントの詳細とサプライチェーンの関係を正式に記録した、ソフトウェアの部品表(SBOM)が欠かせない。SBOMによって透明性が確保されることで、開発者や購入者、運用者が既知の脆弱性と新たな脆弱性を追跡・修正しやすくなるからだ。
こうしたニーズを受けて、多数のオープンソースコンポーネントのインベントリ作成ツールが市場で提供されているが、リスク対処の方法が示されない、特定の言語やパッケージにしか対応してないなどSBOM作成に適していないものもある。本資料では、SBOMを正しく作成し、そのメリットを享受するための方法を基礎から解説する。