日本簽署SBOM國際共通指引,強化軟體弱點管理,全面提升國家網路安全

由美國網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency, 簡稱CISA)自2024年以來,持續主導並規劃《SBOM網路安全之共同願景》(A Shared Vision of Software Bill of Materials(SBOM) for Cybersecurity)之指引訂定,作為保障網路安全之國際共通指引。於2025年9月3日,由日本內閣官房網路安全統括室為首,偕同經濟產業省共同代表日本簽署了該份指引,包含日本在內,尚有美國、德國、法國、義大利、荷蘭、加拿大、澳洲、紐西蘭、印度、新加坡、韓國、波蘭、捷克、斯洛伐克等共計15個國家的網路安全部門,皆同步完成簽署。以下為指引之重點內容:

1. 軟體物料清單的定位(Software Bill of Materials, 簡稱SBOM)

SBOM於軟體建構上,包含元件內容資訊與供應鏈關係等相關資訊的正式紀錄。

2. 導入SBOM的優點

(1) 提升管理軟體弱點之效率。

(2) 協助供應鏈風險管理(提供選用安全的軟體,提升供應商與使用者之間溝通效率)。

(3) 協助改善軟體開發之進程。

(4) 提升管理授權軟體之效率。

3. SBOM對於利害關係人之影響

(1) 使軟體開發人員可選擇最符合需求的軟體元件,並針對弱點做出適當處置。

(2) 軟體資訊的透明化,可供採購人員依風險評估決定是否採購。

(3) 若發現軟體有新的弱點,使軟體營運商更易於特定軟體與掌握弱點、漏洞。

(4) 使政府部門於採購流程中,發現與因應影響國家安全的潛在風險。

4. SBOM適用原則與相關告知義務

確保軟體開發商、製造商供應鏈的資訊透明,適用符合安全性設計(Security by Design)之資安要求,以及須承擔SBOM相關告知義務。

近年來軟體物料清單(SBOM),已逐漸成為軟體開發人員與使用者,於管理軟體弱點上的最佳解決方案。然而,針對SBOM的作法與要求程度,各先進國家大不相同,因此透過國際共通指引的簽署,各國對於SBOM的要求與效益終於有了新的共識。指引內容不僅建議軟體開發商、製造商宜於設計階段採用安全設計,以確保所有類型的資通訊產品(特別是軟體)之使用安全,也鼓勵製造商為每項軟體產品建立SBOM並進行管理,包含軟體版本控制與資料更新,指引更強調SBOM必須整合組織現有的開發與管理工具(例如漏洞管理工具、資產管理工具等)以發揮價值。此份指引可作為我國未來之參考借鏡,訂定相關的軟體物料清單之適用標準,提升政府部門以及產業供應鏈之網路安全。

相關連結
你可能會想參加
※ 日本簽署SBOM國際共通指引,強化軟體弱點管理,全面提升國家網路安全, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=9411&no=86&tp=1 (最後瀏覽日:2026/07/03)
引註此篇文章
你可能還會想看
日本發布2026年10大資訊安全威脅,呼籲企業強化資料管理對策

日本獨立行政法人情報處理推進機構(Information-technology Promotion Agency,下稱IPA)於2026年1月29日發布「2026年10大資訊安全威脅」,呼籲企業應留意自身資訊安全防護對策。 IPA將2026年10大資訊安全威脅區分為「組織」與「個人」兩大面向。在組織面向的威脅中,前三位依序為勒索病毒攻擊、針對供應鏈或委託方的攻擊,以及AI應用所帶來的網路風險。其中,「AI應用所帶來的網路風險」是自2016年IPA開始進行資訊安全威脅調查以來,首度入選前10大威脅,其風險內容主要為使用者對AI技術缺乏充分了解而導致的資訊外洩,或是由於AI遭惡意濫用,進而降低網路攻擊的門檻等風險。 此外,2026年10大資訊安全威脅第四至第十名依序分別為,針對系統漏洞的攻擊、竊取機密資訊的攻擊、由地緣政治風險引起的網路攻擊(包含資訊戰)、內部違規行為導致的資訊外洩、針對遠距工作環境的攻擊、分散式阻斷服務攻擊,以及商務電子郵件詐欺。從10大資訊安全威脅之內涵可知,多數資安威脅均與資訊外洩或惡意攻擊相關,顯見資訊的價值與重要度在現代數位化社會中日益提升。 臺灣企業如欲強化資訊安全防護對策,並針對資料本身進行妥善管理,建議參考資訊工業策進會科技法律研究所創意智財中心(資策會科法所創智中心)發布之《重要數位資料治理暨管理制度規範》,建立涵蓋數位資料生命週期之資料治理機制,同時參考該中心發布之《營業秘密保護管理規範》、《營業秘密管理指針2.0》,建立營業秘密管理措施或相關機制,避免具備機敏性或屬於營業秘密之資訊外洩。 本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站(https://www.tips.org.tw)

蘋果Apple將槍口轉向波蘭零售商

  好萊塢開始在抓涉及侵權內容的手機APP,並要求從APP的購買商店中移除。內容著作權人如NBC環球、漫威漫畫、派拉蒙、索尼、20世紀福斯、華納兄弟等都向GOOGLE提出了請求,請求GOOGLE將侵權的APP從GOOGLE娛樂商店移除。內容著作權人鎖定的APP,據稱包含像是超世紀封神榜、歡樂合唱團、花邊教主、綠光戰警、蜘蛛人、哈比人等未授權的圖像。APP侵權的問題越來越嚴重,國際智慧財產聯盟發言人Steven J. Metalitz表示「這種狀況不斷的在增加」。   IP套索是一個讓軟體偵測侵權內容來源的工具,以IP套索來進行偵測,可以顯示GOOGLE和APPLE的APP商店有90%提及奧斯卡或奧斯卡獎的APP,有侵權或是公然欺騙消費者的情況。GOOGLE政策是當GOOGLE從APP商店移除這些遭指稱為是侵權內容的APP時,同時也會寄送移除請求的副本給相關的網站。依據GOOGLE的政策,會將侵權的APP從GOOGLE商店上移除,但並不保證這個APP也會一併從網路上消失。舉例來說,GOOGLE從線上商店移除哈比人3D高畫質桌布,但是這APP還是可以從網路上的其它地方取得。   APPLE則不過問在iTunes商店上的侵權APP問題。APPLE的政策是只針對所有在線上商店的APP審查是否符合APPLE自己的規定。沒有任何報告顯示,有任何APP曾因侵權問題而遭到APPLE從APP商店中移除過。

德國新聯邦個人資料保護法將於2018年5月施行

  德國聯邦議院在今年4月27日通過「個人資料保護調整和施行法」(Datenschutzanpassungs- und Umsetzungsgesetz, DSAnpUG),其中包含新的德國聯邦個人資料保護法(Bundesdatenschutzgesetz, BDSG)。在這部新的法案中,已施行40年的 BDSG進行大幅調整以符合歐盟個人資料保護規則(Datenschutzgrundverordnung , DSGVO)的標準。   所有歐盟成員國將於2018年5月25日開始適用DSGVO的規定。DSGVO希望能在歐盟成員國內,形成一套具有法律統一性、標準性與高水準的個人資料保護制度。這也意味著侵害個人資料保護的違法行為,如:未使用適當的加密技術以確保個人資料安全,可能受到更嚴重的處罰,最高可達2,000萬歐元或企業全年營業額的4%。   DSGVO的目的在確保歐盟成員國間個人資料保護的共同法制標準,但考量到各成員國間的區域差異,DSGVO也提供國家立法者約60條的開放性條款(Öffnungsklauseln)─允許許多地區的成員國在特定條件下可不依循DSVGO標準。德國聯邦政府在新的BDSG,也運用了這些開放性條款。但有批評者認為,部分新的BDSG規範內容已超越DSGVO的條文規範,如:個資保護專員(Datenschutzbeauftragten)的就業保障。因此,新的BDSG與歐盟法律不符的部分,很可能被宣布違反歐盟法律。另一方面,舊的BDSG僅有48條規定,而新的BDSG則超過85條規定,且更為複雜,這都提高了法律適用上的難度。   雖然新的BDSG其適法性仍有爭議,且是否能通過司法審查亦屬未知。但盡管如此,隨著DSAnpUG 及新的BDSG法律條文制定,未來德國個人資料處理的基本法律框架已確定。由於企業個人資料處理的基本原則已明訂於DSGVO中,且新的BDSG仍是依照DSGVO的規範而制定,因此企業應盡速審查和調整他們的契約和流程,以符合DSGVO的規範要求。

美國通過《非自願私密影像移除法》 以遏止利用AI深偽技術之性犯罪

2025年5月19日美國總統川普簽署《非自願私密影像移除法》(Tools to Address Known Exploitation by Immobilizing Technological Deepfakes on Websites and Networks Act, TAKE IT DOWN Act),該法散播未經同意之親密影像,如深偽色情(deepfake porn)和報復性色情(revenge porn)視為犯罪行為。 長久以來非自願私密影像(Non-Consensual Intimate Image, NCII)所造成的傷害一直無法被有效處理,AI深偽技術出現之後讓問題變得更加複雜。美國目前僅有20個州對深偽影像設有專法,但各州對 NCII 的定義、刑責與處理方式差異甚大,受害者亦難以在第一時間快速將影像移除,導致二次創傷。 為解決前述問題,共和黨與民主黨展現高度共識,眾議院於2025年4月28日以409票同意、2票反對,壓倒性通過《非自願私密影像移除法》,並於同年5月19日獲川普總統簽署生效,此為眾議院首部管理人工智慧引發危害的重大立法。 《非自願私密影像移除法》重點與相關討論整理如下。 一、散布未經同意的私密影像屬刑事犯罪 依據《非自願私密影像移除法》,任何人若透過互動式電腦服務(interactive computer service)故意揭露或威脅散布可辨識個人之親密影像即構成刑事犯罪。親密影像包含真實私密影像(Authentic intimate visual depictions)或數位偽造影像(Digital forgeries)兩種情形,後者係指透過軟體、機器學習、人工智慧,或任何其他電腦產生或技術方式所創建之親密影像,包括改編、修改、操弄或變造真實影像,且從整體上來看,一般人難以與真實影像區分者。 二、受規範平台(covered platforms)應即時協助受害者移除相關影像 受規範平台係指係向公眾提供服務之網站、線上服務或行動應用程式,且該服務主要是提供一個平台,讓用戶得以分享其自行產製之內容(user-generated content),如訊息、影像、音訊、遊戲等;若該服務涉及發布、策劃、託管或提供未經同意的私密影像,亦屬本法所規範之平台。 受規範平台應自《非自願私密影像移除法》頒布日起一年內,建立一套機制供受害者或其代理人申請移除未經同意散布的私密影像。平台在收到移除請求後,應於48小時內移除該影像,並在合理範圍內努力搜尋並刪除所有明顯為該影像之複製品。若平台未能遵守此一規範,會被視為違反《聯邦貿易委員會法》(Federal Trade Commission Act)所定義之「不公平或欺騙性商業行為」,並適用該法的相關處罰機制,例如民事懲罰(civil penalty)等。 三、執法單位是否能有效執行是關鍵 《非自願私密影像移除法》授權聯邦貿易委員會(Federal Trade Commission, FTC)作為執法單位,然而由於川普政府近期大幅刪減聯邦機構的開銷與人力,FTC能否在48小時內移除相關私密影像備受質疑;亦有論者擔憂這項機制被濫用,恐成為政府打壓言論自由的政治工具,川普總統即公開表示他會利用這部法律來審查批評者的言論。此外,《非自願私密影像移除法》未設立反濫用條款,任何人都可要求平台刪除影像內容,加上平台有時間壓力可能會預防性刪除內容而非實質審查,形同變相限縮言論自由的空間。 《非自願私密影像移除法》是一部試圖回應數位性暴力與AI深偽技術新興威脅的里程碑式立法,反映出立法者對於保障隱私與防止科技濫用的高度共識。然而,該法利益良善但仍需面臨現實端的檢驗,能否公正且有效率的執法將成為成敗的關鍵。

TOP