この記事はAIによって生成されたコンテンツを含みます。(スクショ、コマンド出力、ログ、トレースなどには含みません)
-
90日トライアル版 Guardium Cryptography Manager 2.0のインストール方法 (Ubuntu編)
-
90日トライアル版 Guardium Cryptography Manager 2.0のインストール方法 (RHEL編)
-
Guardium Cryptography Manager 2.0 で CBOMのインポートをやってみる ←イマココ
はじめに
これまでの記事では、IBM Guardium Cryptography Manager (GCM) 2.0の基本的なインストール方法や、CSVインポート、ネットワークスキャン機能について紹介してきました。今回は、暗号資産管理において重要な役割を果たす Cryptographic Bill of Materials (CBOM) のインポート方法に焦点を当てます。
CBOMは、ソフトウェアやシステム内で使用されている暗号アルゴリズム、鍵、証明書などの情報を構造化して記録する仕組みで、暗号資産の可視化とリスク管理を効率化するための標準的なフォーマットです。近年、サプライチェーン攻撃や暗号の脆弱性問題が増加する中、CBOMの活用はセキュリティーガバナンスにおいても重要な要素になります。
記事の中ではダミーのCBOMサンプルを使用しますが、以前の記事「IBMが寄贈したCBOMツールセットを使ってJavaからCBOMを生成してみる」の手順で生成したCBOMについても、GCM 2.0にインポートすることができます。
それでは、実際の操作画面とともに確認していきましょう。
事前準備
実際の動作を確認するためには、GCMにインポートするCBOMファイルが必要です。
こちらに、今回の記事のために用意したダミーのサンプルがありますので利用してください。
以前の記事で紹介した SonarQube + CBOMkit で生成したファイルや、IBM Quantum Safe Explorer のような商用ツールで生成したCBOMファイルを使用する場合は、CBOMの「metadata」の下に「gitUrl」というプロパティーを設定する必要があります。
必ずしも実在するURLである必要はないため、以下の例を参考に、対象のアプリを特定できる文字列を設定してください。
{
"name" : "gitUrl",
"value" : "https://github.yourhost.com/yourProject/yourRepository"
}
今回用意したサンプルには、既にこの値が設定されています。
{
"bomFormat": "CycloneDX",
"specVersion": "1.6",
(中略)
"metadata": {
(中略)
"properties": [
{
"name": "gitUrl",
"value": "https://github.com/demo-org/legacy-chat-app"
}
],
(後略)
GCMでCBOMインポートを行う方法
GCMから外部のITアセットを発見したり取り込んだりする機能は、Discoveryと呼ばれています。
CBOMインポートもDiscovery機能の一部です。
-
ハンバーガーメニュー(≡) → Discovery に遷移します。
-
「Import profiles」タブを選択します。
-
この中で一番上の「CBOM report」を使用します。
「Upload file」というハイパーリンクをクリックするとアップロード用の画面が開きますので、「Drag and drop a file here or click to upload」の箇所にファイルをドラッグ・アンド・ドロップするか、クリックしてファイル選択ダイアログを開いてファイルを指定します。その後、「Upload file」をクリックします。
-
右上にアップロードが成功したメッセージが出て、ステータスが「In progress」に変わりました。
-
しばらくしてからリフレッシュボタンを押すと、ステータスが「Completed」に変わります。
-
この「CBOM report」の行をクリックすると、インポート処理に関するレポートを見ることができます。
「Data quality report」のリンクからインポート時の警告メッセージなどを取得でき、特にインポートに失敗した際に役立ちます。
GCMでインポートされた結果を確認する
CBOM形式のインポート結果
ステータスが「Completed」に変わった後の「CBOM report」の「Code assets」列には、インポートで見つかったコードアセット数が表示されています。今回は 6 です。
この数字のハイパーリンクをクリックすると、コードアセットのインベントリー画面に飛ぶことができます。
この画面は、ハンバーガーメニュー(≡) → Inventory → Code repositories からも開くことができます。
「Repository URL」列には、CBOMファイルの中の「gitUrl」プロパティーに設定したURLが表示されています。
行全体をクリックすると、サイドパネルに詳細が表示されます。
下部の「Go to Details」をクリックすると、大きな画面で確認できます。
「Impacted assets」のタブをクリックすると、今回インポートされた暗号使用箇所の情報がリストされます。この画面には、インベントリーの「Code repositories」タブに表示されていた「Impacted code assets」列の検出数をクリックすることでも遷移できます。
脆弱性情報について
GCMの画面を見ていただくと、コードの脆弱性を表示する部分があることに気づくと思います。しかし、今回のCBOMインポートでは何も取り込まれていません。
これは、元のCBOMデータに脆弱性情報が含まれていなかったためです。
例えば、以前の記事で紹介した SonarQube + CBOMkit は脆弱性の検出を行いませんので、出力されるCBOMにも当然そのデータは入っていないことになります。
一例として、暗号APIの検出だけでなく暗号の脆弱性診断が可能なIBM Quantum Safe Explorerという商用製品の出力結果を、CBOMではなくQSEネイティブ形式で取り込んだ例を示します。
このように、使用するツールによって、クリプトインベントリーに取り込む情報の検出能力には違いがあります。
まとめ
今回の記事では、GCM 2.0を用いたCBOMインポートの基本的な流れを確認しました。
CBOMの活用は、暗号資産のライフサイクル管理やコンプライアンス対応を強化する上で非常に有効です。今後は、脆弱性診断機能を持つツールとの連携や、CBOMの自動生成・更新の仕組みを導入することで、より高度な暗号ガバナンスを実現できます。