Chris Hughes(原著) , Tony Turner(原著) , Allan Friedman(原著) , Steve Springett(原著) , NRIセキュアテクノロジーズ(翻訳)
※1点の税込金額となります。 複数の商品をご購入いただいた場合のお支払金額は、 単品の税込金額の合計額とは異なる場合がございますので、予めご了承ください。
本書は、ソフトウェア・サプライチェーンセキュリティの背景や脅威、対応する政府機関や民間団体の対応状況などについて体系的、網羅的にまとめた書籍です。
われわれが日常的に利用している食品や医薬品、自動車では当たり前のように行われている安全評価が、ソフトウェアとなるとブラックボックス化しています。ソフトウェアの安全性を正しく評価することは企業を、社会を守る行為と言えます。ソフトウェアの安全性を評価するためにはソフトウェアの利用者だけでなく、生産者、ベンダーなど、各ステークホルダーの協力が欠かせません。本書では、ステークホルダーごとに必要なアプローチ、視点を実践的に紹介します。
また、本書は、米国政府や研究所におけるソフトウェアの安全性を把握するための取り組みを紹介します。具体的には、ソフトウェア透明性の歴史、SBOM(ソフトウェア部品表)、証明書などのトピックを取り上げています。これからのサイバーセキュリティやアプリケーションセキュリティに必須となるソフトウェア透明性を本書で学ぶことができます。
■目次
Chapter 1 ソフトウェア・サプライチェーンの脅威の背景
Chapter 2 既存のアプローチ ― 伝統的なベンダーのリスク管理
Chapter 3 脆弱性データベースとスコアリング手法
Chapter 4 ソフトウェア部品表(SBOM)の台頭
Chapter 5 ソフトウェア透明性における課題
Chapter 6 クラウドとコンテナ化
Chapter 7 民間部門における既存および新たなガイダンス
Chapter 8 公共部門における既存および新たなガイダンス
Chapter 9 オペレーショナルテクノロジーにおけるソフトウェア透明性
Chapter 10 サプライヤのための実践的ガイダンス
Chapter 11 利用者のための実践的ガイダンス
Chapter 12 ソフトウェア透明性の予測
1.攻撃者のインセンティブ/2.脅威モデル/3.画期的な事例1:SolarWinds/4.画期的な事例2:Log4j/5.画期的な事例3:Kaseya社/6.われわれはこれらの事例から何を学ぶことができるのか?/7.まとめ
1.アセスメント/2.SDLアセスメント/3.アプリケーションセキュリティ成熟度モデル/4.アプリケーションのセキュリティ保証/5.ハッシュ化とコード署名/6.まとめ
1.共通脆弱性識別子(CVE)/2.国家脆弱性データベース(NVD)/3.Sonatype OSS Index/4.オープンソース脆弱性データベース/5.グローバルセキュリティデータベース/6.共通脆弱性評価システム(CVSS)…ほか
1.規制におけるSBOM:失敗と成功/2.業界の取り組み:国立研究所/3.この先の歩み方/4.SBOMをほかの証明と併用する/5.まとめ
1.ファームウェアと組み込みソフトウェア/2.オープンソースソフトウェアとプロプライエタリコード/3.ユーザーソフトウェア/4.レガシーソフトウェア…ほか
1.責任共有モデル/2.クラウドネイティブセキュリティの4C/3.コンテナ/4.Kubernetes/5.サーバーレスモデル/6.SaaSBOMとAPIの複雑さ/7.DevOpsとDevSecOpsにおける使用法/8.まとめ
1.ソフトウェア成果物のサプライチェーンレベル/2.成果物の構成を理解するためのGoogle Graph/3.CISのソフトウェア・サプライチェーンセキュリティガイド/4.CNCFのソフトウェア・サプライチェーンのベストプラクティス …ほか
1.システムと組織のためのサイバーセキュリティ・サプライチェーンリスク管理の実践/2.ソフトウェア検証/3.NISTのセキュアソフトウェア開発フレームワーク(SSDF)/4.NSA:ソフトウェア・サプライチェーンのセキュリティ保護に関するガイダンスシリーズ/5.まとめ
1.ソフトウェアの運動効果/2.レガシーソフトウェアのリスク/3.制御システムにおけるラダーロジックと設定値/4.ICSの攻撃対象領域/5.スマートグリッド/6.まとめ
1.脆弱性開示とPSIRTの対応/2.製品セキュリティインシデント対応チーム(PSIRT)/3.共有するか共有しないか、どれくらいの共有が過剰なのか/4.コピーレフト、ライセンスに関する懸念および「現状の」コード/5.オープンソースプログラムオフィス(OSPO) …ほか
1.広く深く考える/2.SBOMは本当に必要なのか?/3.SBOMをどうすればよいか?/4.大規模なSBOMの受信と管理/5.ノイズの低減 …ほか
1.新たな取り組み、規制、要件/2.連邦政府のサプライチェーンが市場に及ぼす影響力/3.サプライチェーン攻撃の加速/4.デジタル世界の接続性の高まり/5.次に何が起きるか
Chapter 1 ソフトウェア・サプライチェーンの脅威の背景
Chapter 2 既存のアプローチ ― 伝統的なベンダーのリスク管理
Chapter 3 脆弱性データベースとスコアリング手法
Chapter 4 ソフトウェア部品表(SBOM)の台頭
Chapter 5 ソフトウェア透明性における課題
Chapter 6 クラウドとコンテナ化
Chapter 7 民間部門における既存および新たなガイダンス
Chapter 8 公共部門における既存および新たなガイダンス
Chapter 9 オペレーショナルテクノロジーにおけるソフトウェア透明性
Chapter 10 サプライヤのための実践的ガイダンス
Chapter 11 利用者のための実践的ガイダンス
Chapter 12 ソフトウェア透明性の予測
2024年にSEshopで人気だった本を20冊ご紹介!IT技術、生成AI活用、マネジメント本など
翔泳社のプログラミング書籍の中から、入門・初級者向けの書籍をピックアップ!
【エンジニア必携特集】開発現場で使える!ITエンジニアの業務に役立つ書籍を一挙ご紹介
ライティングのスキルアップにおすすめの本。Webライティングやコピーライティングなど
毎日をもっと楽しく、充実させる手帳・ノートの活用術書をご紹介
第二種電気工事士、電験3種など、電気工事技術者関連の資格参考書はこちら
お気に入りに登録すると、気になる商品ページにすばやくアクセスできます。ご利用にはログインが必要です。
