【セキュリティ文明開化シリーズ】
情報セキュリティ専門家として30年以上の経験を持つ山崎文明が、セキュリティ分野における世界での出来事を新たな視点や切り口でお届けします。
-------------------------------------------------------------
前回は、クラウドストライク社が引き起こした世界的規模のシステム障害を契機に、自社のシステムに単一障害点がないか見直しをしましょうと提案しました。
米国インフラストラクチャセキュリティ庁(CISA)のジェン・イースタリー(Jen Easterly)長官は、4月セキュアバイデザイン・イニシアティブ(Secure by Design initiative)設立1周年を祝う席で「セキュアバイデザイン(Secure by Design)の原則は、テクノロジーの利用者ではなくテクノロジーメーカーにサイバーセキュリティの責任を負わせることで、今日のテクノロジーエコシステムにおいて米国民の安全を確保することを目的としています。」と述べています。日本でもしばしば耳にする「セキュアバイデザイン」という言葉ですが、本来の意味するところは、すべてのテクノロジープロバイダーは、経営レベルで責任を持ち、自社製品が設計上安全であることを保証する必要があるということです。
CISAが2024年に注力するサイバーセキュリティへの新しいアプローチは、顧客がベンダーに改善を要求できるようにすることを目標としています。
テクノロジーメーカーであるクラウドストライクやマイクロソフトには、今回のような大規模なシステム障害を起こさないようシステムの改良を期待したいと思います。
さて、今回は、そのセキュアバイデザインを実現するための基本的な役割を担うSBOM(Software Bill of Materials)について考えます。
- ライター:山崎 文明
- 情報セキュリティ専門家として30年以上の経験を活かし、安全保障危機管理室はじめ、政府専門員を数多く勤めている。講演や寄稿などの啓発活動を通じて、政府への提言や我が国の情報セキュリティ水準の向上に寄与している
目次
SBOMの重要性
SBOMは、ソフトウェアを構築するために使用されたコンポーネント(ソフトウェアの部品)を一覧にしたものです。このソフトウェアがどのようなコンポーネントで出来上がっているのか、また脆弱性が発見されたコンポーネントは、どのソフトウェアで使用されているのかを管理するためには、SBOMを正確に維持することが不可欠です。ソフトウェアの開発にOSS(Open Source Software)が当たり前のように使用される時代になってから、SBOMの重要性はますます認識されつつあります。
【出典】FEDERAL REGISTER
義務化が進むSBOM
米国では、2021年5月に米国大統領令EO14028「国家のサイバーセキュリティの向上に関する大統領令」が発行され、政府調達にSBOMが明記されたことがきっかけで急速に普及しつつあります。
今年8月には、米陸軍が2025年2月までに全てのクラウドサービスを除くほとんどの新規ソフトウェア契約にSBOMを組み込むことを義務付けると発表しています。
|
6.3.2 特注ソフトウェアおよびカスタムソフトウェ ア、並びに特注ソフトウェアおよびカスタムソフト ウェアに組み込まれたサードパーティソフトウェアコンポーネントのインベントリを維持し、脆弱性およびパッチ管理を容易にする。 |
また、金融機関のセキュリティ標準であるPCIDSS(Payment Card Industry Data Security Standard)では、2025年3月31日までに脆弱性の管理を容易にするためにソフトウェアに組み込まれたサードパーティのコンポーネントのインベントリを必須としています。PCIDSSには、SBOMという表現は使用されていませんが、まさにSBOMの維持を要求するものといえます。
SBOMに関心がない日本?
2021年にイギリスコーンウォールで行われたG7サミットで、2020年に発生したソーラーウィンズ(Solar Winds)へのハッキング事件が話題となりました。
この事件を回避するためには、サプライチェーンのセキュリティ強化が必要で、SBOMの普及が重要であるとされ、G7加盟各国はSBOMの普及に取り組むこととなりました。日本でも経済産業省が中心となって、SBOM普及のために2023年7月に初版(Ver1.0)の「ソフトウェア管理に向けたSBOMの導入に関する手引き」が発行され、先月8月29日にはVer2.0が発行されています。
また、厚生労働省では2023年3月に公表した「医療機器のサイバーセキュリティ導入に関する手引書(第2版)」というガイドラインにSBOMが明記され、薬事法を改正し、2024年4月から医療機器の脆弱性管理のためSBOMを必須化しました。
NRIセキュアテクノロジーズ株式会社の調査報告「企業における情報セキュリティ実態調査〜NRI Secure Insight 2023〜」によるとSBOMを利用中または検証中としている企業は米国82.1%(導入済み41.5%、検証中40.6%)、オーストラリア77.4%(32.9%、44.5%)に対して日本は3.2%(0.8%、2.4%)しか普及していません。
SBOM普及の鍵はコスト負担
SBOMの重要性は誰しもが理解するところですが、普及の妨げとなっているのは一体何でしょうか。
SBOMという新しい機能の導入の責任部署はどこなのかという大前提の問題があります。SBOMの導入はそもそもサプライチェーンのセキュリティ強化が発端ですので、セキュリティ部門が脆弱性の管理ツールとして、導入・管理すべきとの考えもありますし、システムの構成管理は開発部門の責任だとする意見もあるでしょう。先行してSBOMを導入している企業にお聞きするとこれら責任問題に加えて、SBOMを維持していくためのガバナンスプロセスの定義も必要だそうです。
SBOMフォーマットの標準化の問題も挙げられます。SBOMフォーマットの標準化はNIST(米国立標準技術研究所)やCISA(米サイバーセキュリティ・社会基盤安全保障庁)が主導して2021年9月にISO/IEC5962:201として国際標準化されたSPDX(Software Package Data Exchange)フォーマットやOWASPコミュニティが開発したCycloneDXフォーマットなどがあります。どの標準を使用するかによってツールも異なって来ます。
また、SBOMを作成するコストは誰が負担するのかといった問題もあります。SBOMはソフトウェアを利用する上流工程の企業ほど恩恵を受けますので、上流工程の企業すなわち発注元が負担すべきだと思うのですが、政府のガイドラインを見ても契約で取り決めるようにとしか書かれていません。日本のソフトウェア産業は欧米と違い多重下請の問題がありますので、SBOMという新たなコストは下請企業に押しつけがちです。政府は、SBOMの作成コスト負担について明確なルールを示して欲しいものです。
SBOMの新たなサービス
今年に入ってからAIを使ったSBOMの自動生成をクラウドで行うSaaSサービスが登場しています。モジュールをバイナリ形式で読み込ませるとAIツールが自動的にSBOMを生成してくれるサービスは、正確性が求められるSBOMにとって手動で管理するよりはるかに有用なサービスといえます。ただし、この場合モジュールを一旦クラウドに預けることになりますので、セキュリティが確保されるのかが重要になってきます。
(了)
※本記事の内容は執筆者個人の見解であり、所属する組織の見解を代表するものではありません。
