OSC&Rとは【用語集詳細】

カテゴリ

用語集 

タグ

脅威インテリジェンス  用語集  用語集：英数字記号  用語集：O  規格・基準 

・

OSC&R（Open Software Supply Chain Attack Reference）は、MITRE ATT&CKを参考に、ソフトウェア・サプライチェーンにおける攻撃者のTTPや振る舞いをマッピングした公開フレームワークです。
このフレームワークは、セキュリティベンダーOX Securityを中心とする、大手ベンダー役員等約20社からなるコンソーシアムによって創始されました。

ソフトウェア・サプライチェーンは、ソフトウェア開発ライフサイクルを構成するあらゆるコンポーネントを指す言葉であり、オープンソースやライブラリ、開発環境・ツールなどが該当します。
OSC&Rは、近年増大しつつあるソフトウェア・サプライチェーンの脅威を理解するために作られたフレームワークです。
このフレームワークは、ソフトウェア・サプライチェーンを狙う攻撃者の振る舞いを包括的かつ体系的に記述し、実際の対策に活用できる（Actionable）ように設計されています。
OSC&Rを普及、発展させることにより、攻撃者についての共通理解を促進し、セキュリティ戦略・対策やレッドチーム活動の質を向上させることが期待されています。

OSC&Rでは、SBOMになぞらえたPBOM（Pipeline Bill of Materials）のコンセプトに基づき、攻撃者のキルチェーンを以下のとおり開発ライフサイクルに沿って分類しています。

• 偵察
• リソース開発
• イニシャルアクセス
• 実行
• 持続性確立
• 特権昇格
• 防御回避
• クレデンシャルアクセス
• ラテラルムーブメント
• 収集
• 抽出
• インパクト

PBOMは、オープンソースセキュリティやCI/CD、コンテナなどの開発条件に応じた具体的な攻撃手法を集約・整理し提示します。

OSC&Rは2023年3月よりGitHub上で公開されています。