Keysight SBOM Manager

SBOMの概要

SBOM(Software Bill of Material)は、ソフトウェア製品やアプリケーションで使用されるすべてのコンポーネント(オープンソースと商用の両方)の詳細なリストです。SBOMの各項目には、コンポーネントのバージョン、ライセンス、出所、既知の脆弱性などの詳細が含まれます。

ソフトウェアのサプライチェーン全体を理解し、セキュリティとコンプライアンスを確保する役割を担います。

Keysight SBOM Manager

Keysight SBOM Managerは、自動でIoTファームウェア解析を行い、SBOMを生成します。Keysight SBOM Managerは民生用電子機器から産業用システムまで、さまざまなIoTデバイスにわたってすべての企業や組織にとって不可欠なソリューションです。

Keysight SBOM Managerの機能

SBOM Generator

コンパイル済みバイナリ、ファームウェア、コンテナから高精度なSBOMを抽出するために設計された次世代バイナリ解析エンジンです。バイナリ類似性解析とコードエミュレーション技術を用いることで、ソースコードやビルドへのアクセスをせずに、オープンソースコンポーネントと独自仕様のコンポーネントの両方を検出します。

  • バイナリのみの分析
  • 正確なSBOM生成
  • 高いコンポーネントカバレッジ
  • OSSとクローズドソースの検出
  • ファーストパーティ識別
  • SPDXとCycloneDX出力※
SBOM Generator画面イメージ
※SBOMフォーマットの標準形式
SPDX CycloneDX SWID
主な焦点 ライセンス、コンプライアンス セキュリティ、脆弱性管理 ソフトウェア資産の追跡
対象者 法務チーム、コンプライアンス担当者 セキュリティ専門家 IT資産管理者、ソフトウェアベンダー
フォーマット JSON、XML、YAML、RDF、タグ値 JSON、XML XML
採用者 オープンソース、法務部門 セキュリティチーム、DevSecOps ソフトウェアベンダー、資産管理チーム
ユースケース ライセンスコンプライアンス 脆弱性追跡、依存関係管理 ソフトウェアインストールの追跡
国際標準 ISO/IEC 5962:2021 ISO認証未取得、広く採用されている ISO/IEC 19770-2:2015

SBOM Studio

SBOMを管理および運用するための中心的なハブです。検証とエンリッチメントから継続的な脆弱性監視や規制遵守まで、SBOMのライフサイクル全体にわたるガバナンスを実現します。Keysight SBOM Generatorから取得したSBOM、およびサードパーティから取得したSBOMのどちらも取り込み、スコアリング、エンリッチメント、モニタリングを行います。

  • SBOM 在庫管理
  • 脆弱性ライフサイクル管理
  • VEXとVDP
  • 規制コンプライアンス
  • EU CRAとFDA
  • ライセンスリスク評価
  • SBOMの共有と交換
SBOM Studio画面イメージ

SBOM Consumer

ソフトウェアおよびデバイスの購入者がサプライヤーやベンダーから受け取ったSBOMを検証・監視することを可能にします。リアルタイムの脅威の可視性、SBOM構造の検証、そして継続的な脆弱性追跡を提供することで、購入者が購入・導入する製品への信頼を高めます。

  • 自動SBOM取り込み
  • SBOM検証
  • 包括的なカタログ作成
  • 資産管理との統合
  • 継続的な脆弱性監視
  • コンテキスト化された脅威インテリジェンス
  • リアルタイムアラート
  • 規制コンプライアンス
SBOM Consumer画面イメージ

Keysight SBOM Managerの特徴

Analyzed SBOMをベースにした運用

  • ソースコードやビルドシステムがない環境でも高精度なSBOMがほしい
  • ブラックボックス化したクローズドソースの中身をSBOMとして可視化したい
  • 散在したSBOMを統合管理したい
  • 本当に規制を満たせるか、SBOMの品質管理がしたい
  • 今後、セキュリティ対策にSBOMを応用したい
「最終成果物ベース」の考え方
意図しない混入や変更は、最終成果物を見てみないと分かりません。Analyzed SBOMをベースにして、他のSBOMとの差分を検証することが、セキュリティ対策には有効です。
攻撃者目線でのSBOM運用
攻撃者にとっても、ファームウェアのバイナリデータから生成されたSBOMは非常に有用な情報源となり得ます。
矢印

Keysight SBOM Manager

SBOMの分類
【Source SBOM】開発段階に取得(問題を初期段階で発見する)、【Build SBOM】ビルドのタイミングで取得(問題がないことを確認する)、【Analyzed SBOM】最終製品実装前で取得(意図しない混入や変更を確認する)
意図しない混入の具体例
  1. パッケージマネージャ未登録や手動導入のコンポーネント、悪意ある混入
  2. SolarWinds事件における意図しないマルウェアの混入 ☞ビルド環境が侵害され、マルウェアコードの挿入に気付けなかった
バイナリ解析 × SBOMマネジメント
  1. 1. SBOMの品質をスコア化し、精度高く再構築
    Quality Analysis
  2. 2. 主体的にサプライチェーンの透明性を確保
    • ・世界最高水準のバイナリ解析精度
    • ・Many-hops SBOMの正当性評価
  3. 3. 次の一手を可能にするマネジメント
    • ・脆弱性情報のリアルタイム監視
    • ・パッチ適用状況を反映したリスク評価
    • ・VEX対応、実行経路ベースの脆弱性トリアージ機能

製品に関するご質問・資料請求はこちらまで

03-5859-3034 平日 9:30 ~ 17:00(年末年始、当社指定休業日を除く)

お問い合わせ・資料請求