ベリサーブは9月6日、10月より、SaaS型のソフトウェアサプライチェーン管理パッケージ「SBOM.JP(エスボムジェイピー)」の提供を開始すると発表した。同社は新製品発表に伴い、説明会を開催した。
攻撃者視点のセキュリティ対策に向け、SBOMの活用を
SBOM(Software Bill Of Materials)は直訳すると「ソフトウェア部品表」となり、製品に含まれるソフトウェアをリスト化したものを指す。SBOMの活用によりライセンス情報や脆弱性の管理を行うことが可能で、特に、OSS(Open Source Software)を利用する製造業などで需要が高まっているという。
説明会では、大阪大学 情報セキュリティ本部 猪俣敦夫教授が、「ソフトウェアの視える化により変革する社会システムとどう付き合うべきか」というテーマの下、基調講演を行った。
冒頭、猪俣教授は、「一歩間違うと攻撃につながることから、サイバー攻撃を研究できないが、これこそ、日本がセキュリティで後れを取っている原因の一つ。攻撃者の視点で守らず、境界防御と続けてきたのが立ち遅れの原因。次の世代は、攻撃者の視点で防御を考える必要がある」と語った。
猪俣教授は、攻撃者視点でセキュリティを考える上で、「ソフトウェアは脆弱性を抱えていることを前提とする必要がある」と指摘した。そんなソフトウェアを防御するにはその内容を知っている必要があるが、簡単なことではない。
EU領域では、食品の原材料をもとに「Nutri-Score」という評価が表示されている。A~Eまでの5段階で表示されており、Eは危険を意味する。猪俣教授は、この世界観をコンピュータにも持っていく必要があると述べた。
有償、無償を問わず、OSSも含めてソフトウェアには、「コンポーネント群の詳細」「ライブラリなどの依存関係」「サプライチェーンの関係」が含まれている。猪俣教授は、「これらを記録できれば、カルテのような役割を果たす」と語った。
さらに、猪俣教授は「ソフトウェアの詳細は、わからなくて当たり前であり、脆弱性が発見された場合、その影響範囲や規模の推定は困難であるのが当たり前」と話した。
その例として、Apache Log4jとXZ Utilsの脆弱性が紹介された。いずれもOSSに関連した脆弱性であるがゆえに、どこまで含まれているかを調べることは大変手がかかり、いわば「長距離マラソン」のようなものとも言われているという。
加えて、OSSはバージョンによって保守・サポート終了の期間が異なるので、対応も変える必要がある。猪俣教授は、「OSSを利用する際は、現在利用いるバージョン、脆弱性対応などについて記録することが大事」と述べた。
こうしたソフトウェアの「経歴書」とも言える存在がSBOMといえる。経済産業省は8月29日、「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引ver2.0」を公開した。Ver2.0では、「脆弱性管理プロセスの具体化」、「SBOM対応モデル」、「SBOM取引モデル」が追加された。
猪俣教授はVer2.0について、「SBOMをどう使うかが見えなかった点で、Ver1.0が弱かった。Ver2.0では、脆弱性をどう管理すべきかなど、具体化されている」と評価していた。注目すべき点としては、ケーススタディが掲載されていることを挙げていた。
なお、欧米ではSBOMの導入が進んでいるため、猪俣教授は、欧米の動向をキャッチアップすることが重要と述べた。米国CISAが今年2月に開催した SBOM-a-ramaというイベントが参考になるという。
そして、猪俣教授は「SBOMは単なる技術情報ではなく、品質保証書のようなもの」と、SBOMの重要性を訴えた。例えば、バイデン政権のサイバー大統領令では、連邦政府に製品を販売する組織に対して、SBOM公開を求めている。また、サプライチェーン攻撃への対策として、ソフトウェアの調達や導入において、SBOMを要求する企業・組織が増加している。
最後に、猪俣教授は「SBOMは技術屋だけが知っていればよい話ではない。人が前提であることを忘れてはならない」と語り、企業全体で取り組む重要性を強調した。
自動車と医療で進むSBOMの利用
続いて、ベリサーブ サイバーセキュリティ事業部 脆弱性マネジメント課 藤原洋平氏が「国内外のSBOM動向」について説明した。同氏は、SBOMを利用するメリットについて、「サプライチェーンにおけるセキュリティ対策に役立ち、脆弱性の対応完了までの期間を短縮する」と述べた。
藤原氏は、ここにきてSBOMの注目度が高まっている背景について、「米国のバイデン大統領が2021年に大統領令に署名したこと、サプライチェーンの弱点を突いたサイバー攻撃が増加していることなどがある。IPAが毎年発表している10大セキュリティでもサプライチェーンのリスクが指摘されている」と説明した。
米国では、大統領令にSBOMが盛り込まれているなど、国がSBOMの利用を主導している。ヨーロッパでも同様に、サイバーセキュリティに関する法令「NIS2指令」が施行され、同法でSBOMの導入が奨励されている。こうした欧米の状況に対し、日本は強制力のある法規制が存在しないのが現状だ。
また、業界別では、自動車と医療においてSBOMの利用が進んでいるという。例えば、自動車の電気電子システムにおけるサイバーセキュリティリスク管理のエンジニアリング要件を定めた国際標準規格「ISO/SAE 21434」では、SBOMへの直接的な言及はないが、実運用では、SBOMを活用することが前提になると考えられていとのことだ。また、厚生労働省が発行した「医療機器のサイバーセキュリティ導入に関する手引書」では、SBOMの活用について言及している。
サプライチェーンにおける脆弱性管理の課題を解決
最後に、ベリサーブ サイバーセキュリティ事業部 技術開発課 平山昌弘氏が「SBOM.JP」の特徴を紹介した。平山氏は、脆弱性管理の課題として、「サプライチェーンのSBOM管理」「SBOMのバージョン管理」「脆弱性の影響範囲」「コンポーネントと脆弱性のマッチング」を挙げ、同製品がこれら課題を解決すると述べた。
平山氏は競合製品とは異なる「SBOM.JP」のユニークな点について、「経済産業省のSBOM導入の手引きの3つのフェーズのうち、フェーズ2をカバーする製品が多いが、SBOM.JPはフェーズ3に焦点を置いている」と説明した。同製品では、自社で作成したSBOMに加え、同一サプライチェーン上のサプライヤーから提供されたSBOMを集約し、すべてのSBOMについて、バージョンと脆弱性を管理する。
さらに、平山氏は「SBOM.JP」の特徴として、以下を挙げた。これらの特徴により、サプライチェーンにおける脆弱性管理のさまざまな課題を解決する。
- サプライチェーンにおける脆弱性管理のユースケースに基づいた機能を装備
- 生成AIを用いたコンポ―ネントと脆弱性のマッチングを自動化
- ユーザーの既存システムとの連携を考慮し、すべての機能をAPI化