Tokyo – February 16, 2024 – 國家技術(shù)轉(zhuǎn)讓公司 網(wǎng)絡(luò)公司2023年9月n啟動了"安全透明度聯(lián)合會",旨在減少供應(yīng)鏈安全風(fēng)險(xiǎn)。除了阿拉斯卡拉網(wǎng)絡(luò)公司,NTT數(shù)據(jù)集團(tuán)公司,FFRI安全公司。、思科系統(tǒng)集團(tuán),東京電子有限公司日立有限公司和三菱電氣公司,自集團(tuán)成立以來一直參與,NRI安全技術(shù)有限公司。東京電子有限公司現(xiàn)在也參加。由于最近聯(lián)合會的活動,它總結(jié)了"用戶方"在使用產(chǎn)品、系統(tǒng)、服務(wù)等創(chuàng)造者提供的可視化數(shù)據(jù)時(shí)面臨的問題。,并宣布聯(lián)營集團(tuán)解決這些問題的活動政策為其活動愿景。

1. Background

供應(yīng)鏈安全風(fēng)險(xiǎn),如產(chǎn)品、系統(tǒng)、服務(wù)等。由于供應(yīng)鏈存在安全漏洞,需要整個全球供應(yīng)鏈作出反應(yīng),包括每個組成部分的供應(yīng)商。在這種情況下,世界各國越來越多地要求供應(yīng)鏈中的每個企業(yè)實(shí)體根據(jù)《材料軟件清單》(Sbom)格式(列出產(chǎn)品中的軟件組件的標(biāo)準(zhǔn)數(shù)據(jù)格式),創(chuàng)建和提供關(guān)于軟件配置的"可視化數(shù)據(jù)"。

隨著這種運(yùn)動越來越注重可視化數(shù)據(jù)的創(chuàng)造者的視角,它可能導(dǎo)致過多地強(qiáng)調(diào)處理"創(chuàng)造者方面"的問題,例如與生成可視化數(shù)據(jù)相關(guān)的成本。因此,注意力可能轉(zhuǎn)向在現(xiàn)實(shí)范圍內(nèi)創(chuàng)建可視化數(shù)據(jù),而且有一種風(fēng)險(xiǎn),即可視化數(shù)據(jù)原本打算帶來的好處可能會喪失。但是,如果能夠找到為了有效地使用可視化數(shù)據(jù)而必須滿足的數(shù)據(jù)內(nèi)容條件(*1),例如通過從用戶的角度進(jìn)行研究,則創(chuàng)建者在生成可視化數(shù)據(jù)時(shí)更容易避免生成不必要的數(shù)據(jù),這將帶來其他好處。

為了真正解決這樣的問題,除了供應(yīng)鏈的創(chuàng)造者和用戶雙方的各種企業(yè)之間的合作之外,還必須從用戶的角度來解決這些問題。

2.活動構(gòu)想概要

該聯(lián)合會的目標(biāo)是通過利用Sbom和其他可視化數(shù)據(jù),提高整個供應(yīng)鏈的安全透明度,并大幅度降低與產(chǎn)品、系統(tǒng)、服務(wù)等有關(guān)的供應(yīng)鏈安全風(fēng)險(xiǎn)。雖然減少成本和解決可視化數(shù)據(jù)創(chuàng)建者方面的其他問題的努力正在取得進(jìn)展,但預(yù)計(jì)與可視化數(shù)據(jù)用戶協(xié)調(diào)開展的聯(lián)合會活動將導(dǎo)致對創(chuàng)建和提供可視化數(shù)據(jù)產(chǎn)生更大需求的積極循環(huán)。

聯(lián)合會確定了用戶在使用可視化數(shù)據(jù)時(shí)面臨的一系列問題。作為解決這些問題的一部分,聯(lián)合會制定了一系列政策和活動,以便在其網(wǎng)站上實(shí)現(xiàn)相關(guān)目標(biāo)(*2)。

• (1)
  缺乏社會滲透和認(rèn)可
  無法具體理解可視化數(shù)據(jù)的價(jià)值,因此缺乏如何使用數(shù)據(jù)的意識。
• (2)
  格式數(shù)據(jù)不足
  為了以統(tǒng)一的方式處理可視化數(shù)據(jù),有必要建立使用策略等。
• (3)
  缺乏技術(shù)和工具
  處理大量可視化數(shù)據(jù)需要自動化。
• (4)
  利用費(fèi)用負(fù)擔(dān)
  為了應(yīng)對采用可視化數(shù)據(jù)帶來的業(yè)務(wù)變化,有必要對工作人員進(jìn)行有效的教育,使他們熟悉相關(guān)工具。
• (5)
  持續(xù)使用
  在軟件更新等過程中,必須不斷地獲得正確的可視化數(shù)據(jù).
• (6)
  供應(yīng)鏈中的協(xié)調(diào)
  在多階段供應(yīng)鏈中,創(chuàng)造者和用戶之間有必要建立一種相互分享的機(jī)制。
• (7)
  可視化數(shù)據(jù)的影響
  由于可視化數(shù)據(jù)的滲透增加了安全透明度,因此有必要處理以前看不見但無法處理的事件。
• (8)
  其他的
  由于傳統(tǒng)業(yè)務(wù)中不包括可視化數(shù)據(jù)的使用,因此有必要修改業(yè)務(wù)結(jié)構(gòu)。

這將成為討論的起點(diǎn),以便對許多已經(jīng)開始或正在考慮使用Sbom和其他服務(wù)的企業(yè)所面臨的問題達(dá)成共識,并以協(xié)調(diào)一致的方式解決這些問題。

3. Outlook

通過這一聯(lián)合會和各企業(yè)的共同努力,將共同制定應(yīng)對措施,應(yīng)對在利用可視化數(shù)據(jù)方面的挑戰(zhàn),并將其作為"利用可視化數(shù)據(jù)的知識庫"(臨時(shí)標(biāo)題)在聯(lián)合會網(wǎng)站(*3)上公布。

4.參與公司(截至2024年2月n16日)

下列公司參加了聯(lián)合會。國家工作隊(duì)和國家選舉委員會正在監(jiān)督秘書處的工作。正在聯(lián)合會網(wǎng)站上招聘更多的參與者。

阿拉斯卡拉網(wǎng)絡(luò)公司
NRI安全技術(shù)公司
國家數(shù)據(jù)中心數(shù)據(jù)組公司
FFRI保安公司
思科系統(tǒng)
東京電子有限公司
網(wǎng)絡(luò)公司
非關(guān)稅公司4
日立有限公司
三菱電氣公司

5. Endorsement

日本經(jīng)濟(jì)產(chǎn)業(yè)省商務(wù)和信息政策局網(wǎng)絡(luò)安全司的井井義夫

"2023年7月v,日本經(jīng)濟(jì)、貿(mào)易和工業(yè)部制定了一份手冊,概述了采用SBMS的好處,并指出在實(shí)施SBMS時(shí)應(yīng)予以承認(rèn)。
為了實(shí)現(xiàn)引入軟件管理系統(tǒng)的效果,例如縮短處理軟件漏洞的初始化時(shí)間和降低管理成本,不僅要考慮軟件管理系統(tǒng)的創(chuàng)建者,而且要考慮用戶的視角。我們期望,這個聯(lián)合會將促進(jìn)公司利用SBOM,并導(dǎo)致提高日本工業(yè)的網(wǎng)絡(luò)安全能力。"

***

    上一篇我們送上的文章是 NEC的機(jī)器人人工智能技術(shù)能夠針對環(huán)境采取精確的行動,有助于提高生產(chǎn)力和工作風(fēng)格- ， _!在下一篇繼續(xù)做詳細(xì)介紹，如需了解更多，請持續(xù)關(guān)注。
本文由日本NEC鋰電池中國營銷中心于2024-12-24 17:11:37 整理發(fā)布。
轉(zhuǎn)載請注明出處.