SCVS の使用

SCVS には以下の目標があります。

  • ソフトウェアサプライチェーンのリスクを軽減できるアクティビティ、コントロール、およびベストプラクティスの共通のセットを開発すること

  • 成熟したソフトウェアサプライチェーン監視へのベースラインとパスを特定すること

コントロールファミリ

コンポーネント検証のさまざまな側面やコンポーネント検証が発生するプロセスに適用される複数のコントロールを含む六つのコントロールファミリがあります。 コントロールファミリは以下のとおりです。

  • V1: インベントリ

  • V2: ソフトウェア部品表 (SBOM)

  • V3: ビルド環境

  • V4: パッケージ管理

  • V5: コンポーネント分析

  • V6: 系統および来歴

ソフトウェアコンポーネント検証レベル

ソフトウェアコンポーネント検証標準では三つの検証レベルを定義しています。上位レベルには追加のコントロールが含まれています。

  • SCVS レベル 1 は基本的な形式の分析で十分である低保証要件向けです。

  • SCVS レベル 2 は追加の分析またはデューディリジェンスが必要である中程度に機密性の高いソフトウェア向けです。

  • SCVS レベル 3 はデータの機密性やソフトウェアの使用に起因する高保証要件向けです。

レベル 1

SCVS レベル 1 は足場となる基礎を築きます。このレベルでは以下のようなベストプラクティスの実施に焦点を当てています。

  • 完全かつ正確なインベントリを備えたソフトウェア部品表を作成すること

  • 継続的インテグレーションを利用して繰り返し可能なビルドを生成すること

  • 公開されているツールおよびインテリジェンスを使用してサードパーティコンポーネントの分析を実行すること

レベル 1 の採用はモダンなソフトウェアエンジニアリングプラクティスで実現できます。

レベル 2

SCVS レベル 2 はレベル 1 の能力の幅を広げます。 レベル 2 は既存のリスク管理フレームワークと規制や契約上の要件を持つソフトウェア集約型の企業および組織に適しています。 レベル 2 では技術以外の役割を持つ関係者の数も膨らみます。 レベル 2 を採用するには追加のリソースとドメインの専門知識が実現のために必要となることがあります。

レベル 3

SCVS レベル 3 はレベル 2 の能力の深さを掘り下げます。レベル 3 は安全性が要求される重要なインフラストラクチャおよびシステムに適用できます。 これらのシステムとそれを製造および保守する組織で高いセキュリティ体制を維持するには、サプライチェーンの監査可能性とエンドツーエンドの透明性が必要です。

本標準の使い方

ソフトウェアコンポーネント検証標準を使用する最善の方法の一つは、それを評価の方法および段階的な改善を順序立てて行う方法として使用することです。 ユースケースに合わせて SCVS を調整することで、組織にとって最も重要なセキュリティ要件に焦点を当てることができます。 組織はすべての上位レベルのコントロールを実施することなく、上位レベルから特定のコントロールを採用することを選択できます。

SCVS のユースケースの一つは内部ソフトウェア開発プロセスと能力を評価することです。 もう一つはサプライヤを評価することです。 これにはオープンソースソフトウェア保守者、契約ソフトウェア開発者、商用ソフトウェアベンダーが含まれます。

ファーストパーティの能力評価

SCVS は内部ソフトウェアの能力とプロセスを評価および適格性判断を行い、検証可能性を改善できる領域を特定するための構造化された手法を提供します。 SCVS の階層的なトピック構造により、同じ組織であっても検証カテゴリ内やカテゴリ間で異なるレベルになることがあります。 特定のシステムに必要とされる保証レベルに応じて、システムの承認には異なるレベルの SCVS コントロールが要求されることがあります。

SCVS コントロールは自動化可能であり、継続的にシステム承認の基盤を提供するように系統立てられています。 ソフトウェア構成の変化の速さを考えると、特に継続的インテグレーションパイプラインで開発された機能については、保証の継続には一度限りではなく継続的な検証が必要となります。

サプライヤの評価

サプライヤのソフトウェア開発ワークフローに存在するもしくはソフトウェア成果物とともに提供されるドキュメントやメタデータに基づいて、SCVS は契約または外部委託のソフトウェアサプライヤが提供するサプライチェーンの透明性を評価する標準化された方法を提供します。 具体的には、サプライチェーンの可視性を確立し、サプライヤを差別化するために、ソフトウェアの顧客がソフトウェア部品表 (SBOM) の提供を要請あるいは要求できます。

SCVS の階層化された項目別の構造であるため、代替案の分析に使用することや、調達のための提案を評価するために全体的または部分的に使用することが可能です。 異なるレベルの SCVS コントロールを調達のための適格性判断や、スコアリング案の要素として使用できます。

ソフトウェア部品表やその他の検証データをサプライヤが提供することで、顧客はサプライヤソフトウェアに存在するリスクを継続的に監視して、サプライヤが提供する通知や更新に関係なく可視性を得ることができます。 このデータの監視可能性により、特定の期間内に既知の脆弱性を修正するための契約条項を策定および施行することが可能になります。

SCVS の適用

ソフトウェアコンポーネント検証標準は自動化により実施または検証できるコントロールに重点を置いています。 コントロールファミリは単一のチームに特有のものではありません。 これらはソフトウェア開発者、セキュリティおよびリスク管理者、調達部門など、組織全体の利害関係者を代表するものです。 サイバーポスチャを測定および改善するにはすべての利害関係者の積極的な参加が必要です。 組織は現在の成熟度のベースラインを決定することで、成熟度を向上させるための目標とタイムラインを決定し、自動化によりコントロールを実施または検証できる方法を考案できます。

より高い SCVS レベルでコントロール要件を満たすには利用可能な技術的手法よりもビジネスプロセスに依存することがあります。

\newpage

Previous序文Next監査と認定

Last updated