サイバーレジリエンス法の SBOM 要件を満たす準備はできていますか?

オープンソースソフトウェア

あなたがソフトウェアコンプライアンスマネージャー、DevOps アーキテクト、ソフトウェアエンジニア、法律コンサルタントのいずれであっても、知的財産をセキュリティと法的リスクから保護するために知っておくべきことを確認してください。

サイバーレジリエンス法とは何ですか?

サイバーレジリエンス法 (CRA) は2024 年初めに制定される予定です。この欧州連合(EU)の法律は、特に自動車、金融、ヘルスケア、エネルギーなどの規制が厳しいとされる業界において、サプライチェーン全体にわたるハードウェアおよびソフトウェア製品のサイバーセキュリティとサプライチェーン全体の透明性を向上させることを目的としています。CRA は、デジタル要素を含むすべての製品のコンポーネントを識別するためにソフトウェア部品表 (SBOM)を作成することをメーカーに要求しています。 SBOM は、含まれるすべてのソフトウェアコンポーネント、依存関係、セキュリティ脆弱性、および使用ライセンスをリスト化したレポートです。

CRA はいつ SBOM (ソフトウェア部品表) 要件を施行しますか?

CRA には複数の構成要素がありますが、その多くは可決から 3 年後、つまり2027 年初めに施行されます。 SBOM に関連する次の記述は EU で市販されているデジタル要素 (PDE) を備えた製品に適用されます。

ソフトウェア部品表 (SBOM):

製造業者は、製品の少なくともトップレベルの依存関係のソフトウェア部品表 (SBOM) を作成するなど、製品コンポーネントと脆弱性を特定して文書化する必要があります [Annex I、Part II (1)] ]。 SBOM は一般に公開する必要はありません [Recital 37]。

CRA は米国のビジネスにどのような影響を与えますか?

この法律は EU で制定されていますが、CRA は世界中のソフトウェアおよび接続デバイスのメーカーに大きな影響を与えることになります。同様に、米国は、デジタル資産の責任ある開発を奨励するために、正式名称「デジタル資産の責任ある開発の確保 (Ensuring Responsible Development of Digital Assets)」という大統領令 14067 を制定しました。同様に、大統領令 14067 では、企業が SBOM を提出する必要があることを強調し、SBOM を「ソフトウェアの構築に使用されるさまざまなコンポーネントの詳細とサプライチェーン関係を含む正式な記録」と定義しています。米国電気通信情報局 (NTIA) は、「ソフトウェア部品表 (SBOM) の最小要素」を公表しました。

SBOM には何を含めるべきですか?

SBOM は、最終的なソフトウェア製品の構築に使用されるソフトウェアコンポーネントの包括的なインベントリを提供する必要があります。これには以下が含まれます:

  • オープンソースのライブラリと依存関係
  • 商用/プロプライエタリのライブラリとモジュール
  • ライブラリとコンポーネントのバージョン
  • コンポーネント間の関係
  • セキュリティの脆弱性
  • ライセンス情報

SBOM には 3 つの共通規格があります。

  • Linux Foundation のSoftware Package Data Exchange (SPDX)
  • OWASP のCycloneDX (CDX)
  • 国際標準化機構 (ISO) のソフトウェア識別 (SWID)

SBOM 生成が難しいのはなぜでしょうか?

ソフトウェアサプライチェーンの複雑で分散的な性質により、正確かつ効率的な SBOM 管理が困難になっています。サードパーティのソース間の一貫性のなさやドキュメントの欠如、幅広いライセンスタイプ、およびパッケージマニフェストで宣言されているコードのみに焦点を当てるか、またはコンポーネントのスニペットを識別できないソフトウェア構成分析 (SCA) ツールなどにより、SBOM 管理は特に困難になっています。

オープンソースコードの継続的な普及、コードスニペットや AI 生成コードの使用により複雑さが増し、規模を拡大するためのより高度な SCA ツールセットだけでなく、著作権とオープンソースライセンスの微妙な違いに精通したオープンソース監査人という形での専門知識も必要となります。

CRA に備えるために SBOM 管理を改善するにはどうすればよいですか?

おそらく SBOM プロセスは導入されていますが、より完全で、より正確で、より時間のかからないものに改善する必要があります。 SBOM の改善と CRA の準備計画を進めるのに役立つパンチリスト(確認リスト)を次に示します。

常に最新情報を入手

政府の公式 Web サイト、サイバーセキュリティフォーラム、業界出版物を定期的にチェックして、サイバーレジリエンス法とソフトウェア部品表の要件に関する最新情報を確認してください。どのような影響を受けるかについて説明できる、信頼できるソフトウェア構成分析パートナーを見つけます。

SBOM 標準の調査:

ソフトウェア部品表 (SBOM) の標準と仕様を理解してください。SBOM の形式と構造を理解して、要件に準拠していることを確認してください。

セキュリティ チームとの連携

組織のサイバーセキュリティチームと緊密に連携して、ソフトウェア開発の行程をセキュリティのベストプラクティスおよびコンプライアンス要件に合わせて調整します。

開発プロセスに SBOM を実装する:

ソフトウェア構成分析 (SCA) をソフトウェア開発ライフサイクル (SDLC) に統合します。ソフトウェア製品に正確かつ最新の SBOM 情報が含まれていることを確認します。

SBOM ツール、自動化

SBOM の効率的な取り込み、生成、管理に役立つソフトウェア構成分析ツールと SBOM 自動化ソリューションを検討します。これにより、コンプライアンスプロセスが合理化され、エラーのリスクが軽減されます。

SBOM の専門知識を見つける

SBOM 管理に「特効薬」のツールはありません。また、このプロセスには、社内にいない専門知識も必要です。部分一致によるコンポーネントの識別とライセンスの制限の決定の複雑さに対処するために、柔軟なレベルのオープンソース監査サービスも提供できる SCA プロバイダーを探してください。

FOSSID製品ページはこちら