SBOMとセキュリティの透明性 - すべてを統合する方法
DAY 1
14:50-
15:30
ソフトウェアに何が含まれているのかを知るというアイデアは、急進的な考えから「SBOM(Software Bill of Materials)」という流行語に変わった。しかし、SBOMはどこへ行こうとしているのだろうか。また、セキュリティにおける他の動き、特に政策や規制に関する動きとどのように関わっていくのだろうか。本講演では、SBOMがどこから来て、どのようにして世界的なコミュニティになったのかを振り返り、現在のギャップを明示し、コミュニティがどのようにそれらに対処しようとしているのかを説明する。しかし、もちろんSBOMだけですべての問題が解決するわけではない。SBOMの前に、より多くのCoordinated Vulnerability Disclosure(CVD)が必要である。SBOMが整備された後は、新しいCVE標準を含む質の高い脆弱性データと、より優れたソフトウェア識別子が必要になる。そして、情報過多にならないためには、プロプライエタリ・ソフトウェアとオープン・ソース・ソフトウェアの両方について、VEX(Vulnerability Exploitability eXchange)と機械可読なアドバイザリが必要となる。 これらすべてを見渡し、ソフトウェアセキュリティと対応の未来について、より良い計画を立てるための全体図を描こう。
-
Location :
-
Track 1(HALL B)
-
-
Category :
-
Law&Policy
-
-
Share :
Speakers
-
Allan Friedman
アラン・フリードマン
アラン・フリードマン博士は、米国政府のサイバーセキュリティ・インフラストラクチャー安全保障庁(CISA)のシニアテクニカルアドバイザー兼ストラテジストを務めている。ソフトウェア部品表(SBOM)に関するグローバルかつ業界横断的なコミュニティの取り組みを調整し、日本政府を含む世界中の専門家と緊密に連携している。以前は、NTIA(米国商務省電気通信情報局)にてサイバーセキュリティ・イニシアチブ・ディレクターを務め、脆弱性開示、SBOM、その他のセキュリティ関連の先駆的な業務を主導していた。連邦政府に加わる前は、ハーバード大学のコンピュータサイエンス学科、ブルッキングス研究所、ジョージ・ワシントン大学工学部で、情報セキュリティおよび技術政策の著名な学者として10年以上活動していた。また、人気のある著書『Cybersecurity and Cyberwar:What Everyone Needs to Know』の共著者でもあり、スワースモア大学でコンピュータサイエンスの学位を、ハーバード大学で公共政策の博士号を取得。落ちこぼれの教授からテクノクラートに転身したにしては、非常にフレンドリーである。
フリードマン博士は、2019年および2022年にCODE BLUEで講演する栄誉にあずかっている。