論文の概要: The "4W+1H" of Software Supply Chain Security Checklist for Critical Infrastructure
- arxiv url: http://arxiv.org/abs/2510.26174v1
- Date: Thu, 30 Oct 2025 06:32:11 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-10-31 16:05:09.681944
- Title: The "4W+1H" of Software Supply Chain Security Checklist for Critical Infrastructure
- Title(参考訳): クリティカルインフラストラクチャのためのソフトウェアサプライチェーンセキュリティチェックリストの"4W+1H"
- Authors: Liming Dong, Sung Une Lee, Zhenchang Xing, Muhammad Ejaz Ahmed, Stefan Avgoustakis,
- Abstract要約: ソフトウェアサプライチェーン攻撃の頻度と高度化は、重要なインフラセクターに深刻なリスクをもたらす。
意識の高まりにもかかわらず、既存のセキュリティプラクティスは断片化され、不十分である。
CIドメインに明示的に適合するフレームワークはほとんどない。
- 参考スコア(独自算出の注目度): 10.196356816275996
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: The increasing frequency and sophistication of software supply chain attacks pose severe risks to critical infrastructure sectors, threatening national security, economic stability, and public safety. Despite growing awareness, existing security practices remain fragmented and insufficient, with most frameworks narrowly focused on isolated life cycle stages or lacking alignment with the specific needs of critical infrastructure (CI) sectors. In this paper, we conducted a multivocal literature review across international frameworks, Australian regulatory sources, and academic studies to identify and analyze security practices across the software supply chain, especially specific CI sector. Our analysis found that few existing frameworks are explicitly tailored to CI domains. We systematically leveraged identified software supply chain security frameworks, using a "4W+1H" analytical approach, we synthesized ten core categories (what) of software supply chain security practices, mapped them across life-cycle phases (when), stakeholder roles (who), and implementation levels (how), and examined their coverage across existing frameworks (where). Building on these insights, the paper culminates in structured, multi-layered checklist of 80 questions designed to relevant stakeholders evaluate and enhance their software supply chain security. Our findings reveal gaps between framework guidance and sector-specific needs, highlight the need for integrated, context-aware approaches to safeguard critical infrastructure from evolving software supply chain risks.
- Abstract(参考訳): ソフトウェアサプライチェーン攻撃の頻度と高度化は、重要なインフラセクターに深刻なリスクをもたらし、国家安全保障、経済安定、公共安全を脅かす。
認識の高まりにもかかわらず、既存のセキュリティプラクティスは断片化され、不十分であり、ほとんどのフレームワークは、独立したライフサイクルステージに絞られているか、あるいはクリティカルインフラストラクチャ(CI)セクターの特定のニーズと一致していない。
本稿では,ソフトウェアサプライチェーン,特に特定のCIセクターにおけるセキュリティプラクティスの特定と分析を目的として,国際フレームワーク,オーストラリア規制資料,学術研究の多言語文献レビューを行った。
分析の結果、CIドメインに明示的に適合する既存のフレームワークはほとんどないことがわかった。
私たちは、"4W+1H"分析アプローチを使用して、特定されたソフトウェアサプライチェーンセキュリティフレームワークを体系的に活用し、ソフトウェアサプライチェーンセキュリティプラクティスの10のコアカテゴリ(何)を合成し、ライフサイクルフェーズ(いつ)、ステークホルダーロール(誰)、実装レベル(どのように)にマップし、既存のフレームワーク(どこで)にわたってそのカバレッジを調査しました。
これらの洞察に基づいて、この論文は、関連するステークホルダーがソフトウェアサプライチェーンのセキュリティを評価し、強化するように設計された80の質問からなる、構造化された多層チェックリストをまとめている。
我々は,フレームワークガイダンスとセクター固有のニーズのギャップを明らかにし,ソフトウェアサプライチェーンのリスクの進展から重要なインフラストラクチャを保護するための,統合されたコンテキスト対応アプローチの必要性を強調した。
関連論文リスト
- Software Security Mapping Framework: Operationalization of Security Requirements [12.04694982718246]
Software Security Mapping Frameworkは階層レベルのセキュリティ要件を運用するために設計された構造化ソリューションである。
このフレームワークは、131の洗練されたセキュリティ要件を、ソフトウェア開発ライフサイクルにまたがる400以上の実行可能な運用ステップに体系的にマッピングする。
Secure Software Environment、Secure Software Development、Software Traceability、Vulnerability Managementの4つのコアセキュリティ目標に基づいています。
論文 参考訳(メタデータ) (2025-05-22T06:34:48Z) - S3C2 Summit 2024-09: Industry Secure Software Supply Chain Summit [50.93790634176803]
ここ数年、ソフトウェアサプライチェーンをターゲットにしたサイバー攻撃が急増している。
ソフトウェアサプライチェーン攻撃の脅威は、ソフトウェア業界と米国政府から関心を集めている。
NSFが支援するSecure Software Supply Chain Center (S3C2)の3人の研究者がSecure Software Supply Chain Summitを開催した。
論文 参考訳(メタデータ) (2025-05-15T17:48:14Z) - An Analytics-Driven Approach to Enhancing Supply Chain Visibility with Graph Neural Networks and Federated Learning [52.79646338275159]
本稿では,フェデレートラーニング(FL)とグラフ畳み込みニューラルネットワーク(GCN)を統合して,サプライチェーンの可視性を高める手法を提案する。
FLは、生のデータ交換を必要とせず、情報共有を容易にすることで、国間での協調的なモデルトレーニングを可能にする。
GCNは、知識グラフ内の複雑なリレーショナルパターンをキャプチャするフレームワークを強化し、正確なリンク予測を可能にして、隠れたコネクションを明らかにする。
論文 参考訳(メタデータ) (2025-03-10T12:15:45Z) - SoK: The Security-Safety Continuum of Multimodal Foundation Models through Information Flow and Game-Theoretic Defenses [58.93030774141753]
MFM(Multimodal foundation model)は、多種多様なデータモダリティを統合し、複雑で広範囲なタスクをサポートする。
本稿では,モデル行動とシステムレベルの相互作用の両方から生じる致命的な脅威を特定することで,MFMの文脈における安全性とセキュリティの概念を統一する。
論文 参考訳(メタデータ) (2024-11-17T23:06:20Z) - S3C2 Summit 2023-11: Industry Secure Supply Chain Summit [60.025314516749205]
本稿は2023年11月16日に開催された産業安全供給チェーンサミットを要約する。
このサミットの目的は、オープンな議論、相互共有を可能にし、ソフトウェアサプライチェーンの確保において、実践経験のある業界実践者が直面する共通の課題に光を当てることだった。
論文 参考訳(メタデータ) (2024-08-29T13:40:06Z) - Enhancing Software Supply Chain Resilience: Strategy For Mitigating Software Supply Chain Security Risks And Ensuring Security Continuity In Development Lifecycle [0.0]
この記事では、ソフトウェアサプライチェーンの進化的脅威に対する保護に必要な戦略的アプローチと予防措置について述べる。
ソフトウェアサプライチェーンのレジリエンスに固有の課題と脆弱性の理解を促進することを目的としている。
この記事では、ソフトウェアサプライチェーンのセキュリティ姿勢を強化するための継続的な取り組みに貢献する。
論文 参考訳(メタデータ) (2024-07-08T18:10:47Z) - SoK: A Defense-Oriented Evaluation of Software Supply Chain Security [3.165193382160046]
ソフトウェアサプライチェーンのセキュリティ研究と開発の次の段階は、防衛指向のアプローチから大きな恩恵を受けるだろう、と私たちは主張する。
本稿では,ソフトウェアサプライチェーンの基本的な要素とその因果関係を表現するフレームワークであるAStRAモデルを紹介する。
論文 参考訳(メタデータ) (2024-05-23T18:53:48Z) - Securing the Open RAN Infrastructure: Exploring Vulnerabilities in Kubernetes Deployments [60.51751612363882]
ソフトウェアベースのオープン無線アクセスネットワーク(RAN)システムのセキュリティへの影響について検討する。
我々は、Near Real-Time RAN Controller(RIC)クラスタをサポートするインフラストラクチャに潜在的な脆弱性と設定ミスがあることを強調します。
論文 参考訳(メタデータ) (2024-05-03T07:18:45Z) - Software supply chain: review of attacks, risk assessment strategies and
security controls [0.13812010983144798]
ソフトウェア製品は、ソフトウェアサプライチェーンを配布ベクタとして使用することによって組織を標的とするサイバー攻撃の源泉である。
我々は、分析された攻撃の最新の傾向を提供することで、最も一般的なソフトウェアサプライチェーン攻撃を分析します。
本研究では、分析されたサイバー攻撃やリスクを現実のセキュリティインシデントやアタックと結びつけて軽減するユニークなセキュリティ制御を導入する。
論文 参考訳(メタデータ) (2023-05-23T15:25:39Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。