政府のソフトウェア部品表 (SBOM) 命令は、…の一部です。

SBOM は、ソフトウェア サプライ チェーン管理システム全体のリスクと脆弱性を特定するより大きな戦略の一部でない限り、意味がありません。

ペンシルベニア州リーゲルスビル (PRWEB) 2023 年 3 月 13 日

世界中の政府部門に対して行われたサイバー攻撃の数は、95 年の同時期と比較して、2022 年の後半に 2021% 増加しました。(1) サイバー攻撃の世界的なコストは、8.44 年の 2022 兆ドルから、 23.84.(2027) 国の重要なインフラストラクチャと連邦政府のネットワークをサポートするために、ホワイトハウスは 2 年 14028 月に大統領令 2021「国家のサイバーセキュリティの改善」を発行しました。(3) EO は、すべてのソフトウェアが従わなければならないセキュリティ対策を定義します。連邦政府と取引を行う発行者または開発者。 これらの手段の XNUMX つは、すべてのソフトウェア開発者に、ソフトウェア アプリケーションを構成するコンポーネントとライブラリの完全なインベントリ リストであるソフトウェア部品表 (SBOM) を提供することを要求します。 Walt Szablowski、創設者兼執行会長 エラセントは、XNUMX 年以上にわたって大企業クライアントのネットワークを完全に可視化してきましたが、「SBOM は、ソフトウェア サプライ チェーン管理システム全体のリスクと脆弱性を特定するより大きな戦略の一部でない限り、意味がありません」と述べています。

National Telecommunications and Information Administration (NTIA) は、ソフトウェア部品表を「特定のソフトウェアとそれらの間のサプライ チェーン関係を構築するために必要なコンポーネント、ライブラリ、およびモジュールの完全で正式に構造化されたリスト」と定義しています。 4) 米国は、インフラストラクチャの多くが、攻撃を阻止するために必要なレベルのセキュリティを備えていない可能性がある民間企業によって管理されているため、サイバー攻撃に対して特に脆弱です.(5) SBOM の主な利点は、組織が特定できることです。ソフトウェア アプリケーションを構成するコンポーネントのいずれかに、セキュリティ リスクを引き起こす可能性がある脆弱性があるかどうか。

米国政府機関は SBOM の採用を義務付けられますが、営利企業はこの追加レベルのセキュリティから明らかに利益を得るでしょう。 2022 年の時点で、米国におけるデータ侵害の平均コストは 9.44 万ドルで、世界平均は 4.35 万ドルです (6) 政府説明責任局 (GAO) のレポートによると、連邦政府はさかのぼる 7 つのレガシー テクノロジー システムを運用しています。 XNUMX年。 GAO は、これらの古いシステムがセキュリティの脆弱性を増大させ、サポートされなくなったハードウェアやソフトウェア上で頻繁に実行されると警告しました.(XNUMX)

Szablowski 氏は次のように説明しています。 まず、SBOM のすべての詳細をすばやく読み取り、結果を既知の脆弱性データと照合し、ヘッドアップ レポートを提供できるツールが必要です。 XNUMX つ目は、自動化されたプロアクティブなプロセスを確立して、SBOM 関連のアクティビティと、コンポーネントまたはソフトウェア アプリケーションごとに独自の緩和オプションとプロセスをすべて把握できるようにすることです。」

Eracent の最先端の Intelligent Cyber​​security Platform (ICSP)™ Cyber​​ Supply Chain Risk Management™ (C-SCRM) モジュール ソフトウェア ベースのセキュリティ リスクを最小限に抑えるために、追加の重要なレベルの保護を提供するために、これらの側面の両方をサポートするという点でユニークです。 これは、プロアクティブで自動化された SBOM プログラムを開始する際に不可欠です。 ICSP C-SCRM は、コンポーネント レベルの脆弱性を軽減するための即時の可視性を備えた包括的な保護を提供します。 また、セキュリティ リスクを高める可能性がある古いコンポーネントを認識します。 このプロセスは、SBOM 内の明細化された詳細を自動的に読み取り、列挙された各コンポーネントを Eracent の IT-Pedia® IT 製品データ ライブラリを使用して最新の脆弱性データと照合します。ソフトウェア製品」です。

商用およびカスタム アプリケーションの大部分には、オープン ソース コードが含まれています。 標準の脆弱性分析ツールは、アプリケーション内の個々のオープンソース コンポーネントを精査しません。 ただし、これらのコンポーネントのいずれにも脆弱性や廃止されたコンポーネントが含まれている可能性があり、サイバーセキュリティ侵害に対するソフトウェアの脆弱性が高まっています。 Szablowski 氏は次のように述べています。 企業は、オープンソースかプロプライエタリかを問わず、使用するソフトウェアに存在する可能性のあるリスクを理解する必要があります。 また、ソフトウェア発行者は、提供する製品に内在する潜在的なリスクを理解する必要があります。 組織は、Eracent の ICSP C-SCRM システムが提供する保護レベルを強化して、サイバーセキュリティを強化する必要があります。」

エラセントについて

Walt Szablowski は、Eracent の創設者兼執行会長であり、Eracent の子会社 (ポーランド、ワルシャワの Eracent SP ZOO、インドのバンガロールにある Eracent Private LTD、および Eracent ブラジル) の会長を務めています。 Eracent は、今日の複雑で進化し続ける IT 環境で、IT ネットワーク資産、ソフトウェア ライセンス、およびサイバーセキュリティを管理するという課題に顧客が対応できるように支援します。 Eracent のエンタープライズ クライアントは、年間のソフトウェア支出を大幅に節約し、監査とセキュリティのリスクを軽減し、より効率的な資産管理プロセスを確立しています。 Eracent のクライアント ベースには、USPS、VISA、米国空軍、英国国防省など、世界最大の企業および政府ネットワークと IT 環境が含まれており、Fortune 500 企業の数十社がネットワークの管理と保護に Eracent ソリューションを利用しています。 訪問 https://eracent.com/. 

参照：
1) Venkat, A. (2023 年 4 月 95 日)。 Cloudsek によると、政府に対するサイバー攻撃は 2022 年後半に 23% 増加しました。 CSO オンライン。 2023 年 3684668 月 95 日、csoonline.com/article/2022/cyberattacks-against-governments-jumped-20-in-last-half-of-20-cloudsek から取得。html#:~:text=The%20number%20of %2attacks%20targeting,AI%20Dbased%20cybersecurity%XNUMXcompany%XNUMXCloudSek
2) Fleck, A., Richter, F. (2022 年 2 月 23 日)。 インフォグラフィック: サイバー犯罪は今後数年間で急増すると予想されます。 スタティスタのインフォグラフィック。 2023 年 28878 月 2027 日、statista.com/chart/20/expected-cost-of-cybercrime-until-20/#:~:text=According%20to%20estimates%20from%2423.84Statista's,to%20%20%202027trillion から取得%XNUMXby%XNUMX
3) 国家のサイバーセキュリティの改善に関する大統領令。 サイバーセキュリティおよびインフラストラクチャ セキュリティ機関の CISA。 （nd）。 23 年 2023 月 XNUMX 日、cisa.gov/executive-order-improving-nations-cybersecurity から取得
4) Linux ファウンデーション。 (2022 年 13 月 23 日)。 SBOM とは何ですか? リナックス財団。 2023 年 XNUMX 月 XNUMX 日、linuxfoundation.org/blog/blog/what-is-an-sbom から取得
5) Christofaro, B. (nd). サイバー攻撃は戦争の最新のフロンティアであり、自然災害よりも深刻な打撃を与える可能性があります。 攻撃を受けた場合、米国が対処するのに苦労する可能性がある理由はここにあります。 ビジネスインサイダー。 23 年 2023 月 2019 日、businessinsider.com/cyber-attack-us-struggle-taken-offline-power-grid-4-XNUMX から取得
6) Ani Petrosyan 発行、4、S. (2022 年 4 月 2022 日)。 23 年の米国におけるデータ侵害のコスト。Statista。 2023 年 273575 月 XNUMX 日、statista.com/statistics/XNUMX/us-average-cost-incurred-by-a-data-breach/ から取得
7) Malone, K. (2021 年 30 月 50 日)。 連邦政府は 23 年前の技術を運用しており、更新の予定はありません。 CIOダイブ。 2023 年 599375 月 XNUMX 日、ciodive.com/news/GAO-federal-legacy-tech-security-red-hat/XNUMX/ から取得

ソーシャルメディアまたは電子メールで記事を共有する：