安全なサプライ チェーン

エンドツーエンドのWindows 11サプライチェーンは複雑です。 開発プロセス全体から、他の組織、製造、およびセキュリティ更新プログラムのチップ、ファームウェア、ドライバー、オペレーティング システム、アプリなどのコンポーネントまで拡張されます。 Microsoft では、Windows 11サプライ チェーンのセキュリティと、機能とコンポーネントのセキュリティに大きく投資しています。 2021年、米国は国家のサイバーセキュリティ強化に関する行政命令を出した。 行政命令は、SolarWindsやWannaCryなどの様々な攻撃と共に、安全なサプライチェーンを確保することの緊急性と重要性を高めた。

Microsoft では、次のようなコントロールに準拠するために、Windows 11サプライ チェーンが必要です。

• ID 管理とユーザー アクセス制御
  • アクセス制御
  • 最小特権の原則
  • ロールベースのアクセス制御 (ロールベースのアクセス制御)
  • 職務の分離
  • MFA
  • アカウント管理
  • 物理アクセス制御
• 情報セキュリティ
  • 情報処理
  • Cryptography
  • 脆弱性スキャン
  • 暗号化
  • 整合性と構成証明
  • 守秘義務
• 運用コントロール
  • リポジトリ所有権のコード
  • 構成 & 変更管理
  • 資産所有権
  • 製造基準
• イベント ログ & セキュリティ監視
  • ネットワーク
  • Host
  • アプリケーション
  • サービス
  • DevOps
  • 製造セキュリティ
  • 物理的なセキュリティ監視
• サプライヤーのセキュリティ制御
  • サプライヤーのセキュリティとプライバシーの保証 (SSPA)
  • サプライヤーのスクリーニング
  • 仕入先在庫
• 物流セキュリティコントロール
  • 応対
  • 配送
  • 倉庫 & ストレージ
  • 物流管理

ソフトウェア部品表 (SBOM)

Windows エコシステムでは、ソフトウェア コンポーネントの整合性と信頼性を確保することが最も重要です。 これを実現するために、ソフトウェア部品表 (SBOM) と COSE (CBOR オブジェクト署名と暗号化) を使用して、すべての証拠に署名します。 SBOM は、依存関係や関連するメタデータなど、ソフトウェア コンポーネントの包括的なインベントリを提供します。 透明性は、脆弱性の管理とセキュリティ標準への準拠に不可欠です。

COSE 署名プロセスは、SBOM コンテンツの整合性と信頼性を検証する暗号化署名を提供することで、SBOM の信頼性を高めます。 CoseSignTool は、プラットフォームに依存しないコマンド ライン アプリケーションで、これらのデジタル署名を適用して検証するために使用されます。 このツールを使用すると、すべての SBOM とその他のビルド証拠に署名と検証が行われ、ソフトウェア サプライ チェーン内で高レベルのセキュリティが維持されます。

SBOM と COSE 署名証拠を統合することで、利害関係者は、使用するコンポーネントを可視化し、すべてのソフトウェア成果物が信頼でき、安全であることを保証します。 このアプローチは、エンド ツー エンドのサプライ チェーン セキュリティに対するコミットメントに沿っており、Windows エコシステム全体でソフトウェア コンポーネントを管理および検証するための堅牢なフレームワークを提供します。

詳細情報

• SBOM ツール
• コード 署名ツール

Windows ソフトウェア開発キット (SDK)

Windows には、開発者が安全で安全なアプリケーションを構築するのに役立つ多数の SDK が用意されています。

Windows SDKには、Windows 用のセキュリティで保護されたデスクトップ アプリを開発するための一連の API とツールが用意されています。 開発者は、Windows SDKを使用して、最新のWindows 11セーフガードの恩恵を受ける高度にセキュリティで保護されたアプリケーションを設計できます。 最新かつ保護されたアプリを作成するために、SDK は、コア Windows オペレーティング システムと同じセキュリティ標準、プロトコル、コンプライアンスに従います。

Windows SDKは Visual Studio に付属しています。または、最新のWindows SDKにアクセスするには、Windows SDKからダウンロードします。

詳細情報

• Windows アプリケーション開発のベスト プラクティス
• クラシック Windows SDK サンプル
• GitHub でのサンプルのWindows SDK

Windows App SDK

Windows App SDK は、Windows アプリ開発プラットフォームの次の進化を表す新しい開発者コンポーネントとツールのセットです。 Windows App SDK には、サポート終了後に拡張セキュリティ Updates (ESU) に登録されているWindows 11およびWindows 10デバイス上の任意のデスクトップ アプリで一貫した方法で使用できる統合された API とツールのセットが用意されています。 .

詳細情報

• Windows App SDK
• WINDOWS APP SDK サンプル

VBS Enclave SDK

エンクレーブは、信頼された実行環境を作成するために使用されます。 エンクレーブは、アプリケーションのアドレス空間内のコードとデータの分離された領域です。 エンクレーブ内で実行されるコードのみが、同じエンクレーブ内のデータにアクセスできます。 VBS エンクレーブ ツールは GitHub のオープンソース リポジトリであり、開発者がエンクレーブを使用するアプリケーションを構築するのに役立つ一連の API とツールを提供します。

詳細情報

• VBS エンクレーブ ツール
• Microsoft.Windows.VBSEnclave.SDK
• Microsoft.Windows.VBSEnclave.CodeGenerator