Tokyo – February 16, 2024 – 国家技术转让公司 网络公司2023年9月n启动了"安全透明度联合会",旨在减少供应链安全风险。除了阿拉斯卡拉网络公司,NTT数据集团公司,FFRI安全公司。、思科系统集团,东京电子有限公司日立有限公司和三菱电气公司,自集团成立以来一直参与,NRI安全技术有限公司。东京电子有限公司现在也参加。由于最近联合会的活动,它总结了"用户方"在使用产品、系统、服务等创造者提供的可视化数据时面临的问题。,并宣布联营集团解决这些问题的活动政策为其活动愿景。

1. Background

供应链安全风险,如产品、系统、服务等。由于供应链存在安全漏洞,需要整个全球供应链作出反应,包括每个组成部分的供应商。在这种情况下,世界各国越来越多地要求供应链中的每个企业实体根据《材料软件清单》(Sbom)格式(列出产品中的软件组件的标准数据格式),创建和提供关于软件配置的"可视化数据"。

随着这种运动越来越注重可视化数据的创造者的视角,它可能导致过多地强调处理"创造者方面"的问题,例如与生成可视化数据相关的成本。因此,注意力可能转向在现实范围内创建可视化数据,而且有一种风险,即可视化数据原本打算带来的好处可能会丧失。但是,如果能够找到为了有效地使用可视化数据而必须满足的数据内容条件(*1),例如通过从用户的角度进行研究,则创建者在生成可视化数据时更容易避免生成不必要的数据,这将带来其他好处。

为了真正解决这样的问题,除了供应链的创造者和用户双方的各种企业之间的合作之外,还必须从用户的角度来解决这些问题。

2.活动构想概要

该联合会的目标是通过利用Sbom和其他可视化数据,提高整个供应链的安全透明度,并大幅度降低与产品、系统、服务等有关的供应链安全风险。虽然减少成本和解决可视化数据创建者方面的其他问题的努力正在取得进展,但预计与可视化数据用户协调开展的联合会活动将导致对创建和提供可视化数据产生更大需求的积极循环。

联合会确定了用户在使用可视化数据时面临的一系列问题。作为解决这些问题的一部分,联合会制定了一系列政策和活动,以便在其网站上实现相关目标(*2)。

• (1)
  缺乏社会渗透和认可
  无法具体理解可视化数据的价值,因此缺乏如何使用数据的意识。
• (2)
  格式数据不足
  为了以统一的方式处理可视化数据,有必要建立使用策略等。
• (3)
  缺乏技术和工具
  处理大量可视化数据需要自动化。
• (4)
  利用费用负担
  为了应对采用可视化数据带来的业务变化,有必要对工作人员进行有效的教育,使他们熟悉相关工具。
• (5)
  持续使用
  在软件更新等过程中,必须不断地获得正确的可视化数据.
• (6)
  供应链中的协调
  在多阶段供应链中,创造者和用户之间有必要建立一种相互分享的机制。
• (7)
  可视化数据的影响
  由于可视化数据的渗透增加了安全透明度,因此有必要处理以前看不见但无法处理的事件。
• (8)
  其他的
  由于传统业务中不包括可视化数据的使用,因此有必要修改业务结构。

这将成为讨论的起点,以便对许多已经开始或正在考虑使用Sbom和其他服务的企业所面临的问题达成共识,并以协调一致的方式解决这些问题。

3. Outlook

通过这一联合会和各企业的共同努力,将共同制定应对措施,应对在利用可视化数据方面的挑战,并将其作为"利用可视化数据的知识库"(临时标题)在联合会网站(*3)上公布。

4.参与公司(截至2024年2月n16日)

下列公司参加了联合会。国家工作队和国家选举委员会正在监督秘书处的工作。正在联合会网站上招聘更多的参与者。

阿拉斯卡拉网络公司
NRI安全技术公司
国家数据中心数据组公司
FFRI保安公司
思科系统
东京电子有限公司
网络公司
非关税公司4
日立有限公司
三菱电气公司

5. Endorsement

日本经济产业省商务和信息政策局网络安全司的井井义夫

"2023年7月v,日本经济、贸易和工业部制定了一份手册,概述了采用SBMS的好处,并指出在实施SBMS时应予以承认。
为了实现引入软件管理系统的效果,例如缩短处理软件漏洞的初始化时间和降低管理成本,不仅要考虑软件管理系统的创建者,而且要考虑用户的视角。我们期望,这个联合会将促进公司利用SBOM,并导致提高日本工业的网络安全能力。"

***

    上一篇我们送上的文章是 NEC的机器人人工智能技术能够针对环境采取精确的行动,有助于提高生产力和工作风格- ， _!在下一篇继续做详细介绍，如需了解更多，请持续关注。
本文由日本NEC锂电池中国营销中心于2024-04-30 10:29:02 整理发布。
转载请注明出处.