近年、オープンソースソフトウェア(OSS)の脆弱性を狙ったサプライチェーン攻撃が増加しており、OSSを構成部品に含む情報通信システムも攻撃の対象となっている。世界に目を向けると、2021年に出された米国の大統領令をきっかけにソフトウェアの構成を可視化する「SBOM(Software Bill of Materials: ソフトウェア部品表)」の重要性が高まりつつあり、今後日本においてもさまざまな業界で求められることが予想される。企業は何から、どのように対応を進めるべきなのだろうか?
今回は、通信業界においてSBOM評価にいち早く取り組んでいるKDDI総合研究所と、日立ソリューションズによる座談会を実施。技術評価とOSS管理支援という双方の立場から、SBOM対応を進める上での課題やポイントについて、当事者によって語られた。
座談会参加者プロフィール
(左)太田 陽基 氏(KDDI総合研究所 先端技術研究所 セキュリティ部門 サイバーセキュリティグループ エキスパート)
2002年にKDDIに入社後、KDDI研究所(現・KDDI総合研究所)に出向し13年間所属。その間、生体認証や暗号プロトコル評価の研究開発に従事。その後、KDDIの開発・企画部署への異動を経て、2019年10月からは、内閣サイバーセキュリティセンターに出向し、政府のサイバーセキュリティに関する研究開発戦略の策定に携わる。現在は、KDDI総合研究所にて、セキュリティに関する研究開発計画の策定や国家プロジェクトのプロジェクトマネージャーに従事。SBOMに関しては、SBOMツールの調査・選定を担当。
(中)小島 孝夫 氏(KDDI総合研究所 先端技術研究所 セキュリティ部門 サイバーセキュリティグループ コアリサーチャー)
インターネットプロバイダやシステムインテグレータでの勤務など、25年以上にわたるインターネット業界での豊富な経験を持つ。博士号(情報学)を取得後、情報セキュリティの専門家としてKDDIに入社。米国シリコンバレーに駐在経験があり、OpenID FoundationやFIDO Allianceなどのグローバルな標準化団体での活動を通じて、国内外のセキュリティ専門家との幅広いネットワークを構築。現在は、KDDI総合研究所にて通信分野におけるSBOMなどのサプライチェーンセキュリティの研究に従事。
(右)渡邊 歩 氏(日立ソリューションズ デジタルアクセラレーション本部 サービスソリューション部 部長 シニアOSSスペシャリスト)
日本企業におけるSBOMやOSSの活用に関するコンサルティングを提供する傍ら、SBOMエバンジェリストとして、コミュニティ活動や情報発信を通じたSBOMの普及と活用促進に尽力している。Linux FoundationのプロジェクトであるOpenChainのボードメンバーおよび日本コミュニティのプランニングリーダーを務めるとともに、Linux Foundation Japanの初代エバンジェリストとしても活動。
広がるSBOM対応の波、その背景は?
——今注目を集めている「SBOM」とは、どういったものなのでしょうか?
日立ソリューションズ 渡邊氏:
わかりやすく食品で例えると、ラベルに記載された“原材料表示”のようなもので、SBOMはそのソフトウェア版ともいえます。食品の原材料表示と同様に、プログラムの中にどんなものが入っているのかという構成要素を明らかにすることで、自分が使っているソフトウェアが信頼できるものなのか、セキュリティやコンプライアンス的に問題ないかなどを確認できるようになります。
——SBOM対応が求められている背景について教えてください。
日立ソリューションズ 渡邊氏:
近年のセキュリティリスクの高まりに比例して、SBOMが注目されています。特にEUのサイバーレジリエンスアクトがきっかけとなり法整備の動きが出てきたことから、今後、製品販売時のSBOM対応必須化など、より厳しいレギュレーションになる可能性もあります。
KDDI総合研究所 太田氏:
Apache Log4jの脆弱性問題が起きた際に、セキュリティ上の課題が強く認識されました。それというのも、自社のソフトウェアにApache Log4jが使われているかどうかがすぐにはわからず、調査やベンダーへの問い合わせに時間がかかったと聞いたからです。こうした経験から、SBOM導入の必要性を強く感じるようになった企業も多いのではないでしょうか。
KDDI総合研究所 小島氏:
業界ごとに取り組みの進捗は異なるかと思いますが、電話やインターネット通信を支える通信システムでも、昨今OSSの利用が拡大しています。一方で、OSSを狙ったサプライチェーンの攻撃は2021年で1万2000件を超えるなど、セキュリティリスクが顕在化しているのも事実です。脆弱性への迅速な対応のためにもSBOMの重要性が高まっていますが、通信分野におけるSBOM導入は、世界的に見ても十分に進んでおらず、まだまだこれからといった状況ですね。
KDDI総合研究所 太田氏:
通信分野におけるSBOM導入では、考慮すべき業界特有のポイントとして、長期運用の観点が挙げられます。
通信システムは安定稼働が求められるため、脆弱性がなければ同じソフトウェアを使い続けることが多いです。一般機器のように頻繁にアップデートするのが難しく、必ずしも最新のソフトウェアが必要というわけではありません。一度作成したSBOMの使用期間が長く継続的な管理がしやすいという点から、通信システムはSBOMによる管理と親和性があるのではないかと考えています。
KDDI総合研究所による技術評価で見えてきた課題
——KDDI総合研究所では、SBOMに関してどのような取り組みが行われているのでしょうか?
KDDI総合研究所 小島氏:
当社では、KDDIが将来SBOMに対応する可能性を想定し、独自の技術評価を行っています。主に3つの観点で実施していまして、1つ目は、市販のSBOMツールを使って通信機器のSBOMデータを作成し、ツールとデータの評価を行うこと。2つ目は、作成したSBOMデータを通信システムの脆弱性管理などに活用する方法の検討。3つ目は、業界団体での情報共有への活用可能性の検討です。
——実際にSBOMを導入するにあたっては、課題もあるのではないでしょうか。技術評価を通じて感じたことがあればお聞かせください。
KDDI総合研究所 小島氏:
課題は大きく分けて4つあると感じています。1つ目は、企業にとってはSBOM対応をどのようなきっかけで始めればよいかがわかりにくい点です。目的、効果、コストといった部分が見えにくいのが現状なのです。2つ目は、SBOMは導入すればすべてが解決する魔法の技術ではないということです。実際には開発・運用現場でのノウハウが必要な、いわば泥臭い技術といえます。3つ目は、サプライチェーンセキュリティという観点から見た場合、部品メーカーから最終製品、そしてエンドユーザーまでの全体を通して、業界横断で共通認識を持って取り組む必要がある点です。そして4つ目は、調達要件に影響する話になると、経営層や調達部門など社内のさまざまな関係者を巻き込む必要がある点ですね。
KDDI総合研究所 太田氏:
技術的な面でも、課題と思うことがあります。特に通信機器の場合、ベンダーが専用に開発しているソフトウェアもあり、それらをSBOMツールでは検出できないケースがあるのです。また、OSSでも通信事業者向けにカスタマイズされたものは別物として認識されてしまい、検出できないこともありますね。
日立ソリューションズ 渡邊氏:
SBOMツールを導入すればすべて解決すると思われている方も多いのですが、実際にはそうではありません。SBOMでなくても、別の方法で適切にライセンス管理や脆弱性対応ができていれば十分なケースもあります。前提条件や目的を考えたうえで、それに適した手段を選ぶという考え方が意外と浸透していないことは、業界問わず共通の課題であると感じますね。
——技術評価のなかで、SBOMツールである「Black Duck®ソフトウェア・コンポジション解析」を導入されたとお聞きしています。Black Duckの導入に至った背景について教えてください。
KDDI総合研究所 太田氏:
多くのツールを検討するなかで、Black Duckは業界で最も有名なツールの一つであることが頭にありました。特にバイナリ解析ができる点が、他のツールにない特長でした。通信機器のソフトウェアに対してSBOMを作成する際に、バイナリファイルの解析が必要になる可能性があったため、評価対象としました。
日立ソリューションズ 渡邊氏:
Black Duckではスニペット解析(ソースコードの部分一致を検出する解析)が可能であるため、OSSを改変して使用している場合でも検出できる点が強みです。特に組込み業界などでは、OSSを改変して使うことがあるので、この機能は重要ですよね。また、C/C++開発のような外部モジュールの依存関係を特定することが難しいビルドの解析にも対応しています。このように多様な機能を備えていることから、総合的に見て今回の技術評価のようなケースでは、Black Duckに匹敵するツールはほとんどないのではないでしょうか。
Black Duckは長年にわたって進化を続けており、時代のニーズに合わせて機能を拡充してきました。ライセンス管理から始まり、脆弱性管理、そしてSBOMの標準フォーマットやNTIA(米国商務省の電気通信情報局)の定めるSBOMの最小要素に準拠したレポート出力など、必要な機能が順次追加されてきています。
KDDI総合研究所 小島氏:
実際に技術評価を行った結果、Black Duckはさまざまな状況下でも柔軟に対応できる点が優れていると感じましたね。例えば、開発物の一部分だけが提供された場合や、ソースコードではなく実行可能なプログラムのみが提供された場合でも、解析機能を駆使してコンポーネントの検出ができます。また、脆弱性情報との突合も効率よく行えるのが大きな利点です。
——Black Duckの導入にあたって、日立ソリューションズからはどのようなサポートを受けられたのでしょうか。
KDDI総合研究所 小島氏:
SBOM対応のコンサルティングから、SBOMツールの選定とライセンスの見積、SBOMツールの環境構築・導入と問題発生時の解決策の提示、ツール管理者・利用者向けのハンズオン、出力結果やクライアントソフトウェアのトラブルシューティングまで、幅広くサポートしていただきました。大変助かりました。
企業の状況や課題を深く理解した、日立ソリューションズならではのSBOM導入支援
——日立ソリューションズでは、企業のSBOM導入に対してどのような支援を行っているのでしょうか?
日立ソリューションズ 渡邊氏:
私たちは、「SBOM導入支援(ソフトウェア部品管理ソリューション)」として、ツールの提供とコンサルティングの二本立てでソリューションを提供しています。SBOM導入支援は、SBOMに取り組みたい企業の入口となるものと考えています。何をやりたいのか、そもそもSBOMツールが必要なのか、どのツールが適しているかなど、SBOMの作成から活用までのさまざまな障壁を乗り越えるためのサポートを行っています。
当社として特に重視しているのは、お客さまが無駄な労力やコストをかけないようにすることです。すべてを完璧にしようとするのではなく、現状の課題に対して最も効果的な対応を一緒に考えていくというスタンスで取り組んでいます。
KDDI総合研究所 小島氏:
日立ソリューションズは、SBOM対応に早くから取り組まれており、各業界からのさまざまな相談に基づいて常にサービスを進化させていると感じます。また、OSS管理の国際標準であるOpenChainの日本唯一の公式パートナーとして国内外の動向をリードしている点も、サポートをお願いする上で非常に心強く思っています。
日立ソリューションズ 渡邊氏:
OpenChainでは、企業がOSSを適切に取り扱うための指針となる仕様を作成しており、ISO/IEC 5230およびISO/IEC 18974として国際規格になっています。これらは当然SBOMとも関連するもので、OpenChain Telco WG(ワーキンググループ)では、通信業界向けのSBOM仕様「OpenChain Telco SBOM」を提案しました。さらに、通信業界向けのSBOMガイドライン策定に向けた議論がまさに進んでいるところです。
規制の動向次第では急速に普及する可能性も。タイムリーな情報のキャッチアップが重要
——今後、通信業界においてSBOM対応はどのように進んでいくと予想されますか?
KDDI総合研究所 太田氏:
現時点では、主にコストとメリットの観点から、通信事業者や機器ベンダーが全社的にSBOMを導入する段階ではありませんが、重要なシステムや脆弱性管理が特に必要不可欠な領域では、限定的に導入が進むのではないでしょうか。また、規制の動向次第では急速に普及する可能性もあると思います。
——日立ソリューションズとしては今後、企業のSBOM対応をどのようにサポートしていきたいとお考えでしょうか。
日立ソリューションズ 渡邊氏:
SBOMへの対応は、必ずしも最初から100点を目指す必要はありません。自社の状況に合わせて適切な目標を設定することが重要なのです。SBOMは現在も議論が進行中の分野で、状況は刻々と変化しています。例えば、SBOMの標準は米国から出てきたものですが、中国や韓国、ドイツでは独自の動きがあります。日本でも、経済産業省がSBOM導入の手引きという非常に実践的なドキュメントを作成し、公開しています。当社としては、このようなグローバルを含む最新動向をキャッチアップし、お客さまにタイムリーな情報提供とサポートを行っていきたいと考えています。
——最後に、SBOM導入を検討している読者に向けてメッセージをお願いします。
KDDI総合研究所 太田氏:
SBOMは、キーワードだけが先行している状況で、何から始めればよいかわからないという方が多いのではないでしょうか。まずは無償のツールなどで、実際にSBOMを作成してみることをお勧めします。そうすることで、自社の製品やシステムに対してSBOMがどのくらい有用であるのか、どのような課題があるのかが具体的にわかってきます。そのうえで、SBOMの業界でリードしている日立ソリューションズのような企業に相談すると、より実りある議論ができると考えています。
——ありがとうございました。
[PR]提供:日立ソリューションズ