サイバートラストがAlmaLinuxのSBOMを活用しサイバー攻撃対策を強化

〜 AlmaLinuxから各ベンダーが構築するアプリケーションレイヤーまでSBOMの生成と管理が可能な機能や導入サービスを提供予定 〜

サイバートラスト株式会社

サイバートラスト株式会社(本社:東京都港区、代表取締役社長:北村 裕司 以下、サイバートラスト)は、 OSレイヤーから各ベンダーが構築するアプリケーションレイヤーまでSBOM(Software Bill of Materials: ソフトウェア部品表)※1 の生成と管理が可能な機能を提供し、サプライチェーン全体のソフトウェアの可視化と脆弱性管理の支援をさらに推進することを発表します。本取り組みでは、AlmaLinux OSをはじめベンダーが追加するアプリケーションまで最終納品物におけるSBOMの管理を可能にし、ソフトウェアサプライチェーンセキュリティを実現します。

<背景>

ソフトウェアサプライチェーンが複雑化し、産業機械やIoT機器・サービスでのオープンソースソフトウェア(OSS)の利用が一般化するのにともない、サイバー攻撃などのソフトウェアのセキュリティ脅威が深刻化しています。ソフトウェアに含まれる脆弱性やEoL(End of Lifecycle)の適切な管理など、サプライチェーンを通じて開発されるソフトウェアの管理を効率化するため、ソフトウェアとその依存関係のリストであるSBOMの活用が国内外で注目されています。米国では、2022年の大統領令で政府機関が調達するソフトウェアにSBOMの提出を求めることが記載されています。EUにおいても2022年9月に草案が提出された「サイバーレジリエンス法(CRA:Cyber Resilience Act)」に、デジタル要素を備えた全ての製品にSBOM作成のセキュリティ要件への適合が求められています。日本においても、経済産業省を中心にSBOMに関する議論が進み、2023年7月には「ソフトウェア管理に向けたSBOMの導入に関する手引Ver. 1.0」が公開されたほか、医療機器や自動車などをはじめとする業界でSBOMの対応が検討されています。

 

サイバートラストは、 OSレイヤーから各ベンダーが構築するアプリケーションレイヤーまでSBOMの生成と管理が可能な機能を提供し、サプライチェーン全体の可視化と脆弱性管理を支援します。今後、AlmaLinuxのSBOM生成機能をさらに拡張し、利用中のバージョンや構成に適したSBOMの提供を予定しています。

サイバートラストは、SBOMの活用と普及を推進し、国内外の産業活動におけるソフトウェアセキュリティリスクの低減に貢献します。

 

サイバートラストは、OSSの継続的なセキュリティ向上を目指して設立されたThe Linux Foundationの「Open Source Security Foundation(OpenSSF)」プロジェクトに2021年7月に参画し、OpenSSFが推進するOSSのセキュリティ強化に関する3つの目標と10項目の動員プランの中で、7つの重点分野について具体的な活動を進めてまいりました。

この中の「SBOMの普及」と「サプライチェーンの改善」に関して、2023年5月より参画しているThe AlmaLinux OS Foundationの活動において、グローバルで利用されているAlmaLinuxのビルドシステムの強化やSBOM生成ツールの機能拡張に貢献しています。また、サイバートラストが開発するIoT機器向けLinux OS「EMLinux」においてもSPDX、CycloneDXなどの標準フォーマットに対応し、2023年10月よりSBOMを提供しています。さらに、SBOMを活用した脆弱性管理ツール「MIRACLE Vul Hammer」の提供により、ミドルウェアを含めた脆弱性管理を可能にしています。

このたびの発表に対して、AlmaLinux OS FoundationのChairを務めるbenny Vasquez(ベニー・バスケス)氏より以下のコメントをいただいています。

 

The AlmaLinux OS Foundation Chair benny Vasquez 様

サイバートラストは、2023年5月にThe AlmaLinux OS Foundationに加入して以降、セキュリティの重要性を強くうったえ、SBOMサポートの拡大など、さまざまな形でAlmaLinuxに貢献しています。わたしたちは、世界中のソフトウェアプロバイダーにとって重要となっているソフトウェアサプライチェーンセキュリティの実現にサイバートラストが貢献することを楽しみにしています。

※1 SBOM(Software Bill of Materials)とは:ソフトウェアに含まれるコンポーネントや依存関係、ライセンスの種類などをリスト化したソフトウェア部品表。ソフトウェアサプライチェーンにおいてトランスペアレンシー(透明性)とトレーサビリティ(追跡可能性)を確保するための有効な手段として、世界的に普及が進んでいます。

 

■関連Webサイト

AlmaLinux OSサポートサービス

 

■サイバートラスト株式会社について

サイバートラストは、日本初の商用電子認証局として 25年以上にわたり提供している認証・セキュリティサービスと、ミラクル・リナックスのカーネル技術やオープンソースソフトウェア(OSS)の知見を応用したオンプレミス、クラウド、組込み領域向けのLinux/OSSサービスを展開しています。また、これらの技術や実績を組み合わせ、IoTをはじめとする先端分野に向けて、「ヒト・モノ・コト」の正しさを証明し、お客様のサービスの信頼性を支えるサービスを推進しています。

「すべてのヒト、モノ、コトに信頼を」。サイバートラストは、ITインフラに関わる専門性・中立性の高い技術で、安心・安全な社会を実現します。 

 

■本リリースのURL

https://www.cybertrust.co.jp/pressrelease/2024/0723-supply-chain-security.html

* 本プレスリリースに記載されている会社名、製品名、サービス名は、当社または各社、各団体の商標もしくは登録商標です。

 

このプレスリリースには、メディア関係者向けの情報があります

メディアユーザー登録を行うと、企業担当者の連絡先や、イベント・記者会見の情報など様々な特記情報を閲覧できます。※内容はプレスリリースにより異なります。

すべての画像


会社概要

サイバートラスト株式会社

9フォロワー

RSS
URL
https://www.cybertrust.co.jp/
業種
情報通信
本社所在地
六本木1丁目9番10号 アークヒルズ仙石山森タワー35階
電話番号
03-6234-3800
代表者名
眞柄泰利
上場
マザーズ
資本金
7億9405万円
設立
2000年06月