組み込みセキュリティ規制の概要解説:EUサイバーレジリエンス法とは?:Q&Aで学ぶマイコン講座(96)(3/3 ページ)
マイコンユーザーのさまざまな疑問に対し、マイコンメーカーのエンジニアがお答えしていく本連載。今回は、初心者から上級者まで幅広い方々からよく質問される「EUサイバーレジリエンス法とは何?」についてです。
ソフトウェア部品表
ソフトウェア部品表(SBOM)とは、ソフトウェアを構成するモジュールなどのソフトウェア部品の名称、バージョン、依存関係などの情報が含まれたソフトウェア部品の一覧表です。
機械で読み取り可能な形式
CRAの付属書には、ソフトウェア部品表(SBOM)が「機械で読み取り可能な形式で提供可能」であることが要件として記載されていますが、「機械で読み取り可能な形式」については触れていないため、補足します。
機械で読み取り可能な形式として、市場で普及しているSBOMデータ構造は主に下記の2つです。
- SPDX
- CycloneDX
どちらもJSONなどのデータ記述形式で、ソフトウェア部品表を記述します。
SPDXとCycloneDXの違い
SPDXは、ソフトウェア部品のライセンスや著作権を表示し、ソフトウェアライセンスへのコンプライアンスの合理化のためにLinux Foundationの傘下プロジェクトで発案されたものです。CycloneDXは、SBOMの含有情報の1つとして、脆弱性情報を含めるための構造を有しています。
要件対応のために何をすればいいか分からない場合
コストはかかるものの、具体的な対策についてはプロフェッショナルに相談するのが最適です。
TUVのような認証テスト会社の中には、適合性試験、ギャップ分析だけでなく、EUサイバーセキュリティ法規制解説セミナーやCRA対応で必要な脆弱性開示ポリシー(VDP)解説セミナーを有償で提供している企業があります。
また、Black Duckや、Timesys VigilesなどのSBOM生成管理ツールを取り扱っている企業の中には、セキュリティコンサルティングを提供している企業もあります。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
マイコンの「バックアップドメイン」って何?
マイコンユーザーのさまざまな疑問に対し、マイコンメーカーのエンジニアがお答えしていく本連載。今回は、初心者の方からよく質問される「バックアップドメインとは何?」についてです。
そもそもマイコンとは何? 分かりやすく教えて
マイコンユーザーのさまざまな疑問に対し、マイコンメーカーのエンジニアがお答えしていく本連載。今回は、初心者の方からよく質問される「そもそもマイコンとは何? 分かりやすく教えて」についてです。
USB Type-Cの電源制御ってどうやっているの?
マイコンユーザーのさまざまな疑問に対し、マイコンメーカーのエンジニアがお答えしていく本連載。今回は、中級者の方からよく質問される「USB Type-Cの電源制御方法」についてです。
デジタル回路とアナログ回路の違いって何? 内部構成や仕組みを解説
マイコンユーザーのさまざまな疑問に対し、マイコンメーカーのエンジニアがお答えしていく本連載。今回は、初心者の方からよく質問される「デジタル回路とアナログ回路の違い」についてです。
マイコンの「パッケージ」の種類や特徴、選択時の注意点
マイコンユーザーのさまざまな疑問に対し、マイコンメーカーのエンジニアがお答えしていく本連載。今回は、初心者の方からよく質問される「マイコンのパッケージ」についてです。
SPI通信などのノイズ対策や、誤動作への対処法
マイコンユーザーのさまざまな疑問に対し、マイコンメーカーのエンジニアがお答えしていく本連載。今回は、初心者の方からよく質問される「SPI通信などのノイズ対処法」についてです。