サイバーセキュリティの話題が世間をにぎわすことも増えてきますが、近年、その中でも注目される用語の一つがSBOM(Software Bill of Material)です。この言葉は、そのままの意味で、ソフトウェアの部品管理表を指します。つまり、ソフトウェアのコンポーネントやそれらの依存関係、ライセンスに関するデータを一覧化したものです。特に、オープンソースソフトウェア(OSS)の情報を整理することで、サイバーセキュリティの対策に役立てるケースが増えています。自動車業界や医療機器業界、FA業界などでも注目され、多くの企業が対策に追われています。
このブログでは、SBOMに焦点を当て、その特徴と円滑な導入のための取り組みについて紹介します。
目次
■SBOMが必要とされる理由
SBOMの話題について議論する際に避けて通れないのがOSSです。代表的な例として、OSのLinuxが挙げられます。近年、あらゆるソフトウェア開発においてOSSの利用が増え、2022年のシノプシス社の調査によれば、96%の開発でOSSが利用されているとの調査結果が発表されました。特にIoT業界では、ソフトウェアの複雑さが増し、OSSの利用も急速に広がっていますが、OSSの利用にはリスクも伴います。例えば、正確なOSSの把握やライセンスの遵守などが挙げられます。こうした課題に対処するために、SBOMの活用が広がっています。
■OSS管理に有益なSBOM
SBOMはOSS管理に非常に有益です。具体的なメリットを以下に示します。
1. ライセンスリスクの防止: 使用されているOSSのライセンス違反から生じるリスクを防止
2. 脆弱性リスクの回避: 使用されているOSSに含まれる脆弱性から生じるリスクを防止
3. 規制への適合: 様々な業界のサイバーセキュリティ規制に効率的に対応
4. 対外的な説明責任の強化: 脆弱性に対処する際に合理的な対策を行っていたことの説明
SBOMについて単に脆弱性対策の意味合いが強いと思われがちですが、サイバーセキュリティ時代におけるコンプライアンス対応やサプライチェーンリスク対策など、その他にも有益な効果をもたらします。しかしながら、これらのメリットを享受できている企業はまだ多くはありません。その理由についても考察してみたいと思います。
■SBOMの導入の難しさ
利便性がある一方、導入も大変難しいというのがSBOMツールの特徴です。日本のソフトウェア産業におけるテスト依存の品質への過剰なこだわりや未成熟な技術を使いながら鍛える文化がないことも影響していると感じます。
以下は、導入を妨げる一般的な理由です。
1. SBOMの検出技術の未熟さ: その結果、OSSの検出精度が低い場合がある
2. 自社に合致する要件整理の難しさ
3. OSSや脆弱性の進化に追いつけないこと: OSSや脆弱性の進化が速く、完璧なSBOMツールを選定することが難しい場合がある
4. 適切な導入目標の設定の難しさ
これらの不確実性や技術未熟度、要件の具体化、高度な専門知識の必要性といった課題に向き合いながら、導入を進めることは非常に困難です。そのため、日本企業の単独でのSBOMツール導入の事例は少ないです。しかし、多くの企業が必要性を感じており、簡単に適切な導入手順を紹介できればと思います。
■望ましいSBOMツール導入の流れ
理想的な流れとしては、以下の手順でSBOMの導入を進めていくことが望ましいです。
1. SBOMツールの導入プラン策定
- (ア) OSS管理に関する法令や規格に基づく要件を整理
- (イ) 上記を踏まえ、必要なOSS管理とSBOMツールの機能や仕様を明確化
- (ウ) 取引先との契約における修正ポイントや問題点を整理
2. SBOMツールのPoCを通じた選定
- (ア) 複数のSBOMツールを調査し、候補ツールを特定
- (イ) SBOMツールの評価基準を策定
- (ウ) PoCを計画し、評価に必要な情報を得られるように実行
- (エ) 評価基準とPoC結果を踏まえて、最適なSBOMツールを選定
3. SBOMツールの導入
- (ア) 選定したSBOMツールをセットアップ
- (イ) SBOMツールに合わせた運用業務や役割分担、運用ルール、体制を整備
- (ウ) SBOM運用に必要な条項を取引先との契約に反映
- (エ) SBOMによるOSS部品管理や脆弱性・ライセンス管理の運用支援体制を適宜活用
詳細な説明は割愛しますが、これらの手順をベースにSBOMの導入を検討していただければと思います。しかし、導入後のSBOMツールの運用が最も重要であることを最後にお伝えしたいと思います。
■SBOM運用における要点
SBOMツールの導入までスムーズに完了できたとしても、運用が追いつかなければ意味がありません。そのため、弊社では運用設計のスコープとして、基本方針の策定からSBOM運用業務のプロセスと役割分担、SBOM運用ルールの設計、運用体制の整備、さらには契約体系の整備まで、一連の流れに沿って構築することが必要だと考えています。
SBOMツール導入後に、運用が追いつかない現象が起きると(実際、ツールを導入したものの、1年間も活用されていないケースも少なくありません)、導入効果が得られなかったというミスジャッジが生じることもあります。こうした事態を避けるためにも、ツールを十分に機能させて効果を得られるよう、弊社の導入支援・運用設計支援及び運用支援のサービスも合わせてご利用いただければ幸いです。
〜Covalent株式会社について〜
Covalent株式会社は、高度な技術知見と深い業界知見を組み合わせて「実態のあるソリューション」をご提供しています。クライアントと真のパートナーシップ(Covalent bond)を築き、難解な課題へと一緒に挑んでいくこと、テクノロジーとクロスボーダーのノウハウ及びツールをご提供することが我々のミッションです。
近年ではサイバーセキュリティ関連サービスの提供を開始し、主に製造業向けにサイバーセキュリティ対策検討に向けたリサーチ、プロセス・ルール・体制整備に関するコンサルティング、SBOMはじめとするツール導入を進めております。当該活動を進める傍ら、経済産業省の実証にも参画し、そのエクスパティを広く産業界に還元する取り組みも積極的に進めております。
ご興味ある方はお問合せ下さい
車載ソフトウェア等IoT機器のサイバーセキュリティ対策や、関連法規対応、SBOM対応等で課題を感じていらっしゃる場合、ぜひ気軽に弊社サービスに関するお問合せを頂戴できれば幸いです。
免責事項
本資料は当社のサービスに関して情報提供を行うことを目的として作成されたものです。
当社は、できる限り正確な情報に基づいて本資料を作成しておりますが、その正確性、適切性、網羅性等を保証するものではありません。
本資料はあくまでも概括的な当社のサービスの説明を行うに留まり、これを閲覧された方および特定企業の個別事情を踏まえたものではありません。
当社は、本資料の作成日(2023年11月13日)現在の各種法令、政省令等を基礎として本資料を作成しておりますが、個々の法令等の解釈は必ずしも常に一様と言う訳ではありません。また、各種法令等は将来改正される可能性があります。
本資料に掲載されている情報を利用することで発生した紛争や損害に対し、当社は一切の責任を負いません。
当社は、本資料の著作権を有しており、本資料の全部又は一部の複製、及び再配布については当社の書面による許可を必要とします。