ソフトウェアサプライチェーンのセキュリティ向上へ–Linux Foundationらが発表した署名サービス

今回は「ソフトウェアサプライチェーンのセキュリティ向上へ–Linux Foundationらが発表した署名サービス」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　もし数カ月前に、誰かにITセキュリティに関する最大の心配事を尋ねていたら、さまざまな答えが返ってきただろう。しかしその後、SolarWindsが自社のソフトウェアのサプライチェーンを守ることに致命的に失敗し、一部で「ITのパールハーバー」とも呼ばれるような事態が発生したことで、今では、仕事に真剣に取り組んでいる最高セキュリティ責任者（CSO）や最高情報セキュリティ責任者（CISO）であれば、誰でもソフトウェアサプライチェーンを守ることを最優先の仕事に位置づけている。オープンソースに対するこの要求に応えるために、The Linux Foundation、Red Hat、Google、パデュー大学が立ち上げたプロジェクトが「sigstore」だ。

　先週発表されたこのプロジェクトは、透明性が確保されたログを残す技術を基盤として、ソフトウェアの暗号署名を簡単に導入できるようにし、ソフトウェアサプライチェーンのセキュリティを改善することを目指したものだ。sigstoreはその目標を、開発者がファイルやコンテナイメージ、バイナリーなどのソフトウェアのアーティファクトに安全に署名できる仕組みを提供することで実現しようとしている。署名の記録は、改ざんできない公的なログで保管される。このサービスは、すべての開発者やソフトウェア提供者に無料で提供される予定になっている。この機能を実現するために使われるsigstoreのコードと運用のためのツールは、sigstoreのコミュニティによって開発されている。

　The Linux Foundationのオープンソースサプライチェーンセキュリティ担当ディレクターであるDavid A. Wheeler氏が述べている通り、検証済みの再現性のあるビルドが公開されるのはまだ先のことになる。

　Wheele氏は、「『再現性のあるビルド』とは、同じ入力に対して常に同じ出力が得られるビルドで、ビルド結果を検証できるものだ。また検証済みの再現性のあるビルドとは、独立した組織がソースコードからビルドを作成し、ビルドされた結果がそのソースコードから作成されたものであることを検証するプロセスのことを言う」と説明している。

　これを利用すれば、「ソフトウェアの部品表」（SBOM）を作ることができ、SBOMがあればどのプロジェクトでどんなコードが使われているかを正確に把握することができる。これもオープンソースを支持する要素の1つとなる。例えばハッキングされたSolarWindsの製品「Orion」は、ほかのプロプライエタリーなソフトウェアと同じように、中身はブラックボックスになっている。中がどうなっているかは、ビルドした人間しか分からない。そして今では、外部の企業がOrionの問題を発見するまで、SolarWinds自身も中がどうなっているのかを把握していなかったようだ。

世界のサイバーセキュリティ市場は2030年までに5,345億ドルに達するでしょう | 朝日新聞デジタル＆M（アンド・エム）

2021年3月16日にREPORTOCEANが発行した新しいレポートによると、世界のサイバーセキュリティ市場は、2030年までに5,345億ドルに達し、データの安全性とサイバーセキュリティ管理に対する需要の高まりにより、2020年から2030年にかけて毎年11.8％成長します。 87の表と98の図で強調された、この18...

インターネットと情報セキュリティの最新ニュース - INTERNET Watch

インターネット関連の最新ニュースを毎日配信。新しい技術動向やセキュリティ情報の紹介から、最新のIT業界動向、使えるサービスのリンク集まで、インターネットの“今”を伝えます

国産のセキュリティ資格「SecuriST」が登場 DX時代を担うセキュリティ人材の育成を支援：上野宣氏、辻伸弘氏 ...

いま、企業では高度化するサイバー脅威への対応とIT人材不足が大きな課題となっている。特に経済産業省が指摘したように、セキュリティ分野の人材不足は深刻だ。こうした状況に打開策はあるのだろうか。サイバーセキュリティ教育サービスを提供しているグローバルセキュリティエキスパート（GSX）に、セキュリティ人材不足の現状と打開策を聞いた。

Amazon.co.jp: 情報セキュリティマネジメント

[過去問 問題集] 情報セキュリティマネジメント試験 午前 実戦模試350問 情報セキュリティスペシャリスト: 試験本番前の実力診断、総仕上げに最適!スマホでいつでもどこでもオフラインで勉強可能!

強固なセキュリティを実現するutm | とよこん

ここ最近、パソコンのセキュリティを強化させましょうという名目で、セキュリティ機器をセールスしてくる場面が増えています。これはUTMというセキュリティ機器を買ってくださいというものです。ではUTMとはどういうものかというと、外部からの不正アクセスを防ぎ、情報漏洩を防止させる装置です。簡単に言ってしまうと、パソコンに悪さをするハッカーやウィルスから被害を防ぐ機械です。「うちみたいな中小企業を狙う人なんていないよ」という声をよく聞くのですが実はそう安心できた

PPAP (セキュリティ) - Wikipedia

セキュリティ対策としての意味を為さないものとして有害視されている。ppapという用語は『日本情報経済社会推進協会』の発行する文書にも使われている 。 本手法は2021年現在、日本国内において官民問わず広く使われている。

シェアオフィスなどの「共同利用型オフィス」が抱えるセキュリティ課題と対策を解説｜Siotp協議会 | トレンド ...

一般社団法人セキュアIoTプラットフォーム協議会（SIOTP協議会）と一般社団法人日本テレワーク協会は3月10日、「共同利用型オフィス等で備えたいセキュリティ対策について」第2版を公開しました。

"テレワークだからこそ"気をつけたい情報セキュリティとは!？ | コラム | Biz Solution by ...

情報セキュリティ対策は単に多額の投資を行えばよい、というものではなく、自社のテレワークにおいて何を実現し、何を守るべきかを明確にした上で、その実現に適した方法を選び、その方法に必要な投資を行うことが重要です。

JNSAソリューションガイド

JNSAソリューションガイドは会員企業が取扱う、ネットワーク・セキュリティ等に関する製品やサービス、イベント、セミナーを検索し、紹介することを目的としております。さまざまな角度から検索できるような設計になっていますので、どうぞご利用ください。

Amazon.co.jp: 目隠しテープ

ヒサゴ 目隠しセキュリティテープ 5mm×5m コピーFAX用（白） OP2454. 5つ星のうち3.0 1 ￥1,087 ￥1,087. 2021/3/16 ...

日立、工場・プラント向けセキュリティソリューションでリスク洗い出し強化 | Tech+

日立製作所は3月16日、工場やプラントにおけるセキュリティ対策に不可欠な現状把握を機能強化した「制御システム現状把握ソリューション」を提供開始すると発表した。

IoT製品に関連するセキュリティ情報を効率的に収集分析するサービス：製造ITニュース - MONOist

日立製作所は、さまざまな情報源から、自社IoT製品などのセキュリティ上の脅威に関わる情報のみを収集して分析する「脅威インテリジェンス提供サービス」を発売する。

ホームセキュリティ、太陽光発電etc.家づくり経験者が採用すればよかった設備 | Sumai 日刊住まい

持続可能でよりよい世界を目指す国際目標、SDGs（持続可能な開発目標）でも推奨されているクリーンエネルギー。 日刊住まいでは、環境に配慮した太陽光発電や災害時頼りになる蓄電池、安心を実感できるホームセキュリティなど、暮らしのクオリティをアップしてくれる設備について、家づくり経験者や『日刊住まい』執筆陣100人にアンケートを実施しました。 自分らしい理想の家をつくるための、大切な設備・建材選びの参考…

Uefiのスキャンを行う必要性はどこにあるのか | サイバーセキュリティ情報局

ESETのセキュリティ専門家であるキャメロン・キャンプ（Cameron Camp）がかつてUEFIスキャニングに関する記事の中で述べているが、BIOS技術の歴史は1970年代までさかのぼり、今日のコンピューターの要求に合致するのにBIOSが苦戦していたというのは特段驚く ...

高級スポーツジムなどの法人監視カメラ映像、大量流出｜セキュリティ通信

【セキュリティ通信】米Bloombergは、シリコンバレーのスタートアップ企業で、病院や刑務所などを顧客に持ち、法人向け監視カメラのクラウドサービスを展開するVerkadaがハッカー集団による大規模な不正アクセス被害にあったことを報告した。

2021年3月16日[みんなでしっかりサイバーセキュリティ]

数学は中二で挫折した私ですが、セキュリティベンダーに勤めて15年目となりました。ここ数年は、大学時代に専攻していた社会心理学の知識を活かしてサイバーセキュリティの研究・啓発活動をしています。

ソーシャルメディアセキュリティ市場ーソリューション別（監視、脅威インテリジェンス、およびリスク管理）、サービス別 ...

SDKI Inc.SDKI Inc.は、「ソーシャルメディアセキュリティ市場ー世界的な予測2023年」新レポートを 2021年03月16日 に発刊しました。この…

テクマトリックス、セキュリティインシデント発生時の対応とフォレンジックを支援するサービス - クラウド Watch

テクマトリックス株式会社は17日、セキュリティインシデント発生時の対応とフォレンジックを提供する新サービス「インシデント対応サービス ...

工場・制御ネットワークで重要な Otセキュリティ・ハイジーンとは | ネットワンパートナーズ株式会社ブログサイト

OTのIT化が進み、サイバー攻撃の標的になりやすくなってきました。ですがIT系と同じセキュリティ対策では対応できません。OT環境におけるサイバーセキュリティの第一歩をお伝えします。

イエラエと BSI 協業「IoTサイバーセキュリティ認定ラボ」設立し製品検証と認証書発行 | ScanNetSecurity

株式会社イエラエセキュリティとBSIグループジャパン株式会社、 BSI Professional Services Japan 株式会社は3月15日、IoT機器におけるセキュリティ基準の標準化実現に向け、協業開始すると発表した。

イエラエと BSI 協業「IoTサイバーセキュリティ認定ラボ」設立し製品検証と認証書発行 (2021年3月16日 ...

株式会社イエラエセキュリティとBSIグループジャパン株式会社、BSIProfessionalServicesJapan株式会社は3月15日、IoT機器におけるセキュリティ基準の標準化実現に向け、協業開...

【セキュリティ ニュース】BSIグループとイエラエ、IoTセキュリティ分野で協業（1ページ目 / 全1ページ ...

イエラエセキュリティとBSIグループは、IoTセキュリティ分野で協業し、「IoTサイバーセキュリティ認定ラボ」を創設する。：Security NEXT

セキュリティ対策は"目的志向型"で実装しよう――多層防御による各対策例 (2/3)：EnterpriseZine ...

　本連載「間違いだらけのクライアント・セキュリティ」は今回で４回目となります。過去３回は主に現状分析として、企業や公共団体の情報セキュリティに関する「間違い」を取り上げてきました。今回からは具体的なセキュリティ対策について解説していきます。

ソーシャルメディアセキュリティ市場ーソリューション別（監視、脅威インテリジェンス、およびリスク管理）、サービス別 ...

SDKI Inc.は、「ソーシャルメディアセキュリティ市場ー世界的な予測2023年」新レポートを 2021年03月16日 に発刊しました。この調査には、ソーシャルメディアセキュリティ市場の成長に必要な統計的および分析的アプローチが含まれています。レポートで提供される主要な産業の洞

☆Aqua☆ セキュリティ・Ledショップのブログ | ☆Aquaのブログ一覧 | - みんカラ

「☆AQUA☆ セキュリティ・ＬＥＤショップのブログ」☆AQUAのブログ一覧です。自動車情報は日本最大級の自動車SNS「みんカラ」へ！

【東京都】 DXを実現するシステム開発とセキュリティ ～シフトレフト移行によりDevSecOpsを実現するアプローチ ...

DXが急拡大するなかスピードを求めるあまりセキュリティリスクが残ったまま開発を進めてしまい結果的にインシデントやスケジュール遅延が生じ企業のレピュテーション低下や修正対応コストの増大を招く恐れがあります。要件定義や設計を行う上流工程からセキュリティを考慮し対策を行うことが重要です。本ウェビナーではD

産業用セキュリティシステム「Azure Defender for IoT」日本初、国内製造ラインへの導入検討へ｜高知新聞

インフォメーション・ディベロプメントが産業用セキュリティ監視システム大規模製造現場への導入検討に参画 ...

2020年中堅・中小企業におけるセキュリティ/運用管理/バックアップのニーズ状況とベンダ動向 - CNET Japan

・セキュリティ全般に関する従業員向け教育サービス ・プライバシーマークなどの公的な認定の取得支援 ・データをクラウド上にバックアップ ...

キヤノンmj、「マルウェア情報局」を刷新し「サイバーセキュリティ情報局」としてリニューアル公開 ...

SecurityInsight（セキュリティインサイト）は情報セキュリティを中心としたエンタープライズITの情報サイトです。

レクサス LS500h リレーアタック対策加工済みキーレス連動セキュリティ取り付け ブレックスリレーアタック対策用 ...

レクサス LS500h リレーアタック対策加工済みキーレス連動セキュリティ取り付け ブレックスリレーアタック対策用ユニット codephantomRAG紹介全国で自動車のパーツ持込み取付・車修理、板金、塗装・オイル交換・車検、点検のための整備・修理工場もご紹介！