SBOMってなんだ？～最近話題のSBOMを簡単に解説～

Slide 1

Slide 1 text

Slide 2

Slide 2 text

Slide 3

Slide 3 text

Slide 4

Slide 4 text

Copyright Cybertrust Japan Co., Ltd. All rights reserved. 公開 4 ソフトウェアの要素の入れ子となるインベントリであり、ソフトウェアコンポーネントを構成する材料のリスト A “Software Bill of Materials” (SBOM) is a nested inventory for software, a list of ingredients that make up software components. SBOM(Software Bill of Materials)ってなんだ？ https://www.ntia.gov/page/software-bill-materials

Slide 5

Slide 5 text

Copyright Cybertrust Japan Co., Ltd. All rights reserved. 公開 5 SBOM(Software Bill of Materials)ってなんだ？アプリケーションZの SBOM (json, xml, yamlなど) A社アプリケーションZ ソフトウェアの提供者？含まれるコンポーネント名依存関係にあるコンポーネント名依存関係にあるコンポーネントのバージョン SBOMの作成者？ …

Slide 6

Slide 6 text

Copyright Cybertrust Japan Co., Ltd. All rights reserved. 公開 6 SBOM(Software Bill of Materials)ってなんだ？アプリケーションZの SBOM (json, xml, yamlなど) A社アプリケーションZ B社コンポーネントX OSSコミュニティC コンポーネントY A社が提供するアプリケーション B社が提供するコンポーネント Xを含むコミュニティCが提供するコンポーネント Yを含む …

Slide 7

Slide 7 text

Slide 8

Slide 8 text

Slide 9

Slide 9 text

Copyright Cybertrust Japan Co., Ltd. All rights reserved. 公開 9 コンプライアンス違反近年のOSSサプライチェーンに関連する問題依存関係にあるコンポーネントの脆弱性サプライチェーンを悪用した攻撃コミュニティの信頼性 ● テレビメーカーGPLv2違反による訴訟問題(2022年) ● Docker Hubのコンテナイメージに仮想通貨採掘ボットが潜む (2018年) ● PHPのGitサーバがクラックされ意図的に脆弱性が混入 (2021年) ● NPM left-padの依存解決が破壊される問題 (2016年) ● Apache Log4jの脆弱性問題 (2022年) ● RubyGems rest-client にマルウェア混入(2019年) ● SolarWindsサプライチェーン攻撃(2020年)

Slide 10

Slide 10 text

Copyright Cybertrust Japan Co., Ltd. All rights reserved. 公開 10 世界の動き 2021年5月バイデン米大統領、「Improving the Nation’s Cybersecurity(国家のサイバーセキュリティの改善に関する大統領令)」に署名 2021年7月 NTIA「The Minimum Elements For a Software Bill of Materials(SBOMの最小構成)」を公開 2022年1月 OSSソフトウェアサプライチェーン対策のためのホワイトハウスサミットを開催 Linux Foundation、OpenSSF、GAFAなどを招集 2022年2月 OpenSSFはサプライチェーン問題を改善し安全性を高めるための「Alpha-Omega Project」の開始を発表サイバートラストでは2021年7月よりOpenSSFプロジェクトに参加 2023年4月米CISA　「Software Bill of Materials (SBOM) Sharing Lifecycle Report」を公開米CISA　「Types of Software Bill of Material (SBOM) Documents」を公開

Slide 11

Slide 11 text

Copyright Cybertrust Japan Co., Ltd. All rights reserved. 公開 11 日本の動き 2019年経済産業省「サイバー・フィジカル・セキュリティ確保に向けたソフトウェア管理手法等検討タスクフォース」(ソフトウェアタスクフォース)の設立 2022年8月 Open Source Security Summit Japanを開催 2023年1月経済産業省米国国土安全保障省とのサイバーセキュリティに関する協力覚書に署名 ● 運用面での協力　　 ● 制御システムセキュリティの向上 ● インド太平洋地域等の能力向上に関する協力 ● サイバーセキュリティ関連規制及びスキームの調和のための対話促進 2023年7月経済産業省「ソフトウェア管理に向けたSBOM（Software Bill of Materials）の導入に関する手引」を公開

Slide 12

Slide 12 text

Copyright Cybertrust Japan Co., Ltd. All rights reserved. 公開 https://www.cybertrust.co.jp/pressrelease/2022/0824-oss-supply-chain-security.html 日本の動き https://www.linuxfoundation.jp/press-release/2022/08/linux-foundation-openssf- gather-industry-government-leaders-open-source-software-security-summit-jap an/

Slide 13

Slide 13 text

Copyright Cybertrust Japan Co., Ltd. All rights reserved. 公開 13 OSSのサプライチェーン問題への対策としてのSBOM ソフトウェアサプライチェーンの透明性を確保するためにソフトウェアとその部品の⼀覧とライセンス等で構成される SBOM Software Bill of Materials OSSを含むコードの割合が 98% を占める※ 一方で… ライセンス違反やメンテナンス状況を把握していない依存するパッケージやライブラリを把握していない OSS の普及と問題点サプライチェーン問題への対策 https://japan.zdnet.com/article/35187721/ コンプライアンス違反依存関係にあるコンポーネントの脆弱性サプライチェーンを悪用した攻撃コミュニティの信頼性

Slide 14

Slide 14 text

Slide 15

Slide 15 text

Copyright Cybertrust Japan Co., Ltd. All rights reserved. 公開 15 ソフトウェアを提供する人どんなときに使われるのか？Roles and Benefits for SBOM Across the Supply Chain を元に作成 ● 脆弱性リスクの把握 ● ライセンスマネジメント ● プロジェクト情報の把握 ○ 関連プロジェクトの依存関係、EOL ● 顧客へSBOMを提供 A社アプリケーション Z B社コンポーネントX OSSコミュニティC コンポーネントY エンドユーザ SBOM

Slide 16

Slide 16 text

Copyright Cybertrust Japan Co., Ltd. All rights reserved. 公開 16 どんなときに使われるのか？ Roles and Benefits for SBOM Across the Supply Chain を元に作成ソフトウェアを選定する人 ● 調達先の把握 ● ポリシーや規制の遵守 ● 導入前の調査 ○ セキュリティの分析 ■ EOL ■ 脆弱性 A社アプリケーション Z B社コンポーネントX OSSコミュニティC コンポーネントY エンドユーザ SBOM

Slide 17

Slide 17 text

Copyright Cybertrust Japan Co., Ltd. All rights reserved. 公開 17 どんなときに使われるのか？ Roles and Benefits for SBOM Across the Supply Chain を元に作成ソフトウェアを運用する人 ● システムのセキュリティ評価 ● ソフトウェアのEOLの管理 ● ソフトウェア管理の効率化 ● 影響を最小限に抑えたシステムへの対策 A社アプリケーション Z B社コンポーネントX OSSコミュニティC コンポーネントY エンドユーザ SBOM

Slide 18

Slide 18 text

Slide 19

Slide 19 text

Copyright Cybertrust Japan Co., Ltd. All rights reserved. 公開 CISAによるSBOMの定義 Types of Software Bill of Material (SBOM) Documents SBOM TYPE Definition Data Description Design 新しいソフトウェア成果物のためのコンポーネントが含まれる、計画されたソフトウェアプロジェクトまたはプロダクトのSBOM ソフトウェアの仕様要件書、RFPや初期コンセプト Source ソースコードと関連するSW部品を用い、適切な開発環境から直接作成されたSBOM SCAなどで生成されたもの Build ソースコード、関連するSW部品、ビルドされたコンポーネント、ビルドプロセス、および他のSBOMなどのデータから、リリース可能な成果物を作成するためにソフトウェアを構築するプロセスの一部として生成されるSBOM ビルドプロセス上で生成中間製品や完成品である場合が多い Analyzed 構築後の成果物の分析を通じて生成されるSBOM “サードパーティ ”SBOMとも呼ばれる 3rdパーティツールで生成されたもの（Binaryファイルの解析等） Deployed システム上に存在するソフトウェアのリスト実装環境で動作する他のSBOMとの組み合わせの場合ある実装されているソフトウェアのSBOMやConfig情報 Runtime 実行ソフトウェアを計測して生成されたSBOM システム内に存在するコンポーネントだけでなく、外部からの呼び出しや動的にロードされるコンポーネントも含む実装環境・実行環境でツールで生成されたもの

Slide 20

Slide 20 text

Copyright Cybertrust Japan Co., Ltd. All rights reserved. 公開 20 SBOMのフォーマットフォーマット組織規格形式 SPDX SPDX (Linux Foundation) ISO/IEC 5962:2021 Tag-Value(txt)、RDF 、xls、json、 YAML、xml CycloneDX OWASP - json、xml、Protocol Buffers (protobuf) SWIDタグ NIST ISO/IEC 19770-2:2015 xml SPDX OSS のライセンスコンプライアンスに関する情報を効果的に扱うために開発されたフォーマット CycloneDX OSSのセキュリティ管理のために開発されたフォーマット SWIDタグ組織が管理対象とするデバイスにインストールされたソフトウェアを追跡するために開発されたフォーマット

Slide 21

Slide 21 text

Copyright Cybertrust Japan Co., Ltd. All rights reserved. 公開 21 SBOMの最小構成　NTIA:The Minimum Elements For a Software Bill of Materials データフィールド説明 Supplier Name (サプライヤー名) コンポーネントの作成、定義、および識別を行うエンティティの名前 Component Name (コンポーネント名) サプライヤーが定義したソフトウェアの単位に割り当てられた名前 Version of the Component (コンポーネントのバージョン) サプライヤーが、以前に特定されたバージョンからのソフトウェアの変更を指定するために使用する識別子 Other Unique Identifiers (その他の一意な識別子) その他コンポーネントを識別するために使用される識別子、または関連するデータベースのルックアップキーとして機能する識別子 Dependency Relationship (依存関係) 上流部品XがソフトウェアYに含まれるという関係を特徴づける Author of SBOM Data (SBOM作成者) このコンポーネントの SBOM データを作成するエンティティの名前 Timestamp (タイムスタンプ) SBOMデータ生成時の記録

Slide 22

Slide 22 text

Copyright Cybertrust Japan Co., Ltd. All rights reserved. 公開 22 SBOMを生成するツール ● Syft ○ コンテナイメージ、ファイルシステム ● Trivy ○ コンテナイメージ、ファイルシステム、 Kubernetes、git repo(remote)、AWSなどのセキュリティスキャナ ● Docker sbom plugin ○ docker image のSBOMを生成 ● meta-spdxscanner ○ yoctoのSBOM生成レイヤー ● alma-sbom ○ AlmaLinuxのSBOMを生成 SBOMに関連したOSSのツール SBOMを活用するツール ● Grype ○ 脆弱性スキャンツール ○ Syftと共に利用される ● Daggerboard ○ 脆弱性スキャンツール ● SW360 ○ OSSのライセンスや脆弱性情報を管理するツール

Slide 23

Slide 23 text

Slide 24

Slide 24 text

Slide 25

Slide 25 text

Copyright Cybertrust Japan Co., Ltd. All rights reserved. 公開 SBOMの今後 ● 2023年8月現在、国内ではSBOMに対応するべき政令はない ● SBOMの仕様や政策、ツールの動向をウォッチ ○ NTIA, CISA, OpenSSF, OpenChain(Linux Foundation) ○ SPDX, OWASP ○ 経済産業省 ■ サイバー・フィジカル・セキュリティ確保に向けたソフトウェア管理手法等検討タスクフォース ■ 「ソフトウェア管理に向けたSBOM （Software Bill of Materials）の導入に関する手引」まとめ  ソフトウェアサプライチェーンの透明性を確保するためにソフトウェアとその部品の⼀覧とライセンス等で構成される SBOM Software Bill of Materials OSSを含むコードの割合が 98% を占める※ 一方で… ライセンス違反やメンテナンス状況を把握していない依存するパッケージやライブラリを把握していない OSS の普及と問題点サプライチェーン問題への対策

Slide 26

Slide 26 text

Copyright Cybertrust Japan Co., Ltd. All rights reserved. 公開留意事項本資料に記載されている会社名、製品名、サービス名は、当社または各社、各団体の商標もしくは登録商標です。その他本資料に記載されているイラスト・ロゴ・写真・動画・ソフトウェア等は、当社または第三者が有する知的財産権やその他の権利により守られております。お客様は、当社が著作権を有するコンテンツについて、特に定めた場合を除き、複製、改変、頒布などをすることはできません。本資料に記載されている情報は予告なしに変更されることがあります。また、時間の経過などにより記載内容が不正確となる場合がありますが、当社は、当該情報を更新する義務を負うものではありません。