エンドツーエンドのWindows 11サプライチェーンは複雑です。 開発プロセス全体から、他の組織、製造、およびセキュリティ更新プログラムのチップ、ファームウェア、ドライバー、オペレーティング システム、アプリなどのコンポーネントまで拡張されます。 Microsoft では、Windows 11サプライ チェーンのセキュリティと、機能とコンポーネントのセキュリティに大きく投資しています。 2021年、米国は国家のサイバーセキュリティ強化に関する行政命令を出した。 行政命令は、SolarWindsやWannaCryなどの様々な攻撃と共に、安全なサプライチェーンを確保することの緊急性と重要性を高めた。
Microsoft では、次のようなコントロールに準拠するために、Windows 11サプライ チェーンが必要です。
- ID 管理とユーザー アクセス制御
- アクセス制御
- 最小特権の原則
- ロールベースのアクセス制御 (ロールベースのアクセス制御)
- 職務の分離
- MFA
- アカウント管理
- 物理アクセス制御
- 情報セキュリティ
- 情報処理
- Cryptography
- 脆弱性スキャン
- 暗号化
- 整合性と構成証明
- 守秘義務
- 運用コントロール
- リポジトリ所有権のコード
- 構成 & 変更管理
- 資産所有権
- 製造基準
- イベント ログ & セキュリティ監視
- ネットワーク
- Host
- アプリケーション
- サービス
- DevOps
- 製造セキュリティ
- 物理的なセキュリティ監視
- サプライヤーのセキュリティ制御
- サプライヤーのセキュリティとプライバシーの保証 (SSPA)
- サプライヤーのスクリーニング
- 仕入先在庫
- 物流セキュリティコントロール
- 応対
- 配送
- 倉庫 & ストレージ
- 物流管理
ソフトウェア部品表 (SBOM)
Windows エコシステムでは、ソフトウェア コンポーネントの整合性と信頼性を確保することが最も重要です。 これを実現するために、ソフトウェア部品表 (SBOM) と COSE (CBOR オブジェクト署名と暗号化) を使用して、すべての証拠に署名します。 SBOM は、依存関係や関連するメタデータなど、ソフトウェア コンポーネントの包括的なインベントリを提供します。 透明性は、脆弱性の管理とセキュリティ標準への準拠に不可欠です。
COSE 署名プロセスは、SBOM コンテンツの整合性と信頼性を検証する暗号化署名を提供することで、SBOM の信頼性を高めます。 CoseSignTool は、プラットフォームに依存しないコマンド ライン アプリケーションで、これらのデジタル署名を適用して検証するために使用されます。 このツールを使用すると、すべての SBOM とその他のビルド証拠に署名と検証が行われ、ソフトウェア サプライ チェーン内で高レベルのセキュリティが維持されます。
SBOM と COSE 署名証拠を統合することで、利害関係者は、使用するコンポーネントを可視化し、すべてのソフトウェア成果物が信頼でき、安全であることを保証します。 このアプローチは、エンド ツー エンドのサプライ チェーン セキュリティに対するコミットメントに沿っており、Windows エコシステム全体でソフトウェア コンポーネントを管理および検証するための堅牢なフレームワークを提供します。
詳細情報
Windows ソフトウェア開発キット (Windows SDK) (SDK)
開発者は、Windows SDKを使用して、最新のWindows 11セーフガードの恩恵を受ける高度にセキュリティで保護されたアプリケーションを設計できます。 SDK には、Windows 11とWindows 10用のセキュリティで保護されたデスクトップ アプリを開発するための一連の API とツールが統合されています。 最新かつ保護されたアプリを作成するために、SDK は、コア Windows オペレーティング システムと同じセキュリティ標準、プロトコル、コンプライアンスに従います。
詳細情報