暗号部品表(CBOM)
暗号部品表(CBOM) とは何ですか?
暗号部品表(CBOM)ソフトウェアやシステムが利用するすべての暗号資産(アルゴリズム・鍵長・証明書・ライブラリ・プロトコル)を一覧化し、暗号アジリティとポスト量子対応を支えるインベントリ。
CBOM は SBOM の考え方を暗号領域に拡張したものです。アルゴリズム(RSA-2048、AES-256-GCM、SHA-256 など)、モード、パラメータ、鍵ライフサイクル、証明書、ライブラリ(OpenSSL、BoringSSL など)、プロトコル(TLS 1.3、SSH、IKEv2 など)を、どこでどのように使われているかも含めて記録します。これにより、脆弱・廃止予定の暗号の特定、ポスト量子アルゴリズムへの移行計画、国の暗号政策への準拠、金融・重要インフラ規制への遵守の証明が可能になります。OWASP CBOM ワーキンググループと CycloneDX 1.6+ が機械可読フォーマットを提供しています。各国政府がポスト量子対応評価を義務化し、暗号関連の依存がサプライチェーン脆弱性の主要因であり続けるなか、CBOM の重要性は高まっています。
● 例
- 01
PQC 移行計画に向けて、CycloneDX CBOM ですべての RSA-1024 依存関係を洗い出した例。
- 02
ペンテストで生成した CBOM により、決済プラットフォーム上の古い暗号スイートを浮き彫りにした事例。
● よくある質問
暗号部品表(CBOM) とは何ですか?
ソフトウェアやシステムが利用するすべての暗号資産(アルゴリズム・鍵長・証明書・ライブラリ・プロトコル)を一覧化し、暗号アジリティとポスト量子対応を支えるインベントリ。 サイバーセキュリティの アプリケーションセキュリティ カテゴリに属します。
暗号部品表(CBOM) とはどういう意味ですか?
ソフトウェアやシステムが利用するすべての暗号資産(アルゴリズム・鍵長・証明書・ライブラリ・プロトコル)を一覧化し、暗号アジリティとポスト量子対応を支えるインベントリ。
暗号部品表(CBOM) はどのように機能しますか?
CBOM は SBOM の考え方を暗号領域に拡張したものです。アルゴリズム(RSA-2048、AES-256-GCM、SHA-256 など)、モード、パラメータ、鍵ライフサイクル、証明書、ライブラリ(OpenSSL、BoringSSL など)、プロトコル(TLS 1.3、SSH、IKEv2 など)を、どこでどのように使われているかも含めて記録します。これにより、脆弱・廃止予定の暗号の特定、ポスト量子アルゴリズムへの移行計画、国の暗号政策への準拠、金融・重要インフラ規制への遵守の証明が可能になります。OWASP CBOM ワーキンググループと CycloneDX 1.6+ が機械可読フォーマットを提供しています。各国政府がポスト量子対応評価を義務化し、暗号関連の依存がサプライチェーン脆弱性の主要因であり続けるなか、CBOM の重要性は高まっています。
暗号部品表(CBOM) からどのように防御しますか?
暗号部品表(CBOM) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
暗号部品表(CBOM) の別名は何ですか?
一般的な別名: CBOM, 暗号インベントリ。
● 関連用語
- appsec№ 1068
ソフトウェア部品表(SBOM)
ソフトウェアを構成するコンポーネント・ライブラリ・依存関係を、バージョンや関係とともに機械可読な形で正式に列挙したインベントリ。
- cryptography№ 846
耐量子暗号
古典計算機と大規模量子計算機の両方からの攻撃に耐えるよう設計された古典的な暗号アルゴリズム群。
- cryptography№ 249
暗号学
敵対者が存在する環境で機密性・完全性・真正性・否認防止を保証するため、数学的手法によって情報を保護する科学。
- appsec№ 1069
ソフトウェアサプライチェーンセキュリティ
ソースコード・依存関係・ビルド・署名・配布・デプロイに至るまで、ソフトウェア製造の各リンクを改ざん・悪意あるコード・完全性喪失から守る取り組み。
- cryptography№ 172
暗号スイート
鍵交換、認証、データ暗号化、完全性のアルゴリズム群を 1 つの名前にまとめた組み合わせで、TLS などの協議によりセッションごとに選ばれる。
- network-security№ 1159
TLS(トランスポート層セキュリティ)
IETF が標準化した暗号プロトコルで、ネットワーク上の 2 つのアプリケーション間の通信に機密性・完全性・認証を提供する。