SBOMは「セキュア・バイ・デザイン」施策の重要な一部、国際文書に共同署名 経産省/NCO
内閣官房国家サイバー統括室(NCO)と経済産業省は9月3日、SBOM(ソフトウェア部品表)に関する国際文書(ガイダンス)に共同署名したと発表、ガイダンスを公表しました。SBOMは「セキュア・バイ・デザイン」施策の重要な一部であるとし、SBOMを作成しリスク管理に組み込むよう推奨しています。
経済産業省の発表によると、ガイダンスは同省と米国サイバーセキュリティ・インフラ安全庁(CISA)が主導して作成されました。SBOM運用の国際的なガイダンスとなることを狙っており、SBOMの普及、活用によってサプライチェーンリスクが低減することを目指しています。
公表された文書は「A Shared Vision of Software Bill of Materials (SBOM) for Cybersecurity(サイバーセキュリティのためのソフトウエア部品表(SBOM)の共有ビジョン)」と題された全10ページの文書です。日米のほか、ドイツ、フランス、イタリア、カナダ、オーストラリア、韓国、インドなど計15カ国のサイバーセキュリティ当局が共同署名しました。
文書では、SBOMとは何か▽SBOM導入のメリット▽SBOMにおけるステークホルダーとその影響▽セキュア・バイ・デザインにおけるSBOMの重要性――を説明しています。共同署名した各国の共通認識は次のとおりです。
まず、SBOMとはソフトウエアを構築するために使われているさまざまな構成要素の詳細やサプライチェーン上の関係性(出所)を公式に記録するものであり、「ソフトウエアの原材料リスト」と例えることができます。次に、SBOMの導入は、ソフトウエアが設計段階からセキュアであるための不可欠な条件であるとし、ソフトウエアの透明性向上はソフトウエア開発・利用における意思決定の質の向上に直結するとしました。
さらに、SBOMデータの透明性を高めることは、ソフトウエアのエコシステム全体の信頼性を向上させ、リスクを減らす上で重要であると強調しました。透明性の高いSBOMデータは、ソフトウエアの開発者・調達者・運用者だけでなく、国家のサイバーセキュリティ機関にとっても欠かせないものです。これは、脆弱性を早期に発見し、迅速に対応することを可能にするからです。
また、SBOM導入の効果として「Log4Shell」の事例を取り上げています。2021年12月に発見された「Log4Shell」は、Javaで使われるオープンソースのログ出力ライブラリ「Apache Log4j」に存在した重大な脆弱性です。多くの組織は影響範囲の特定に苦労しましたが、SBOMを活用していた組織は比較的迅速かつ効率的に対応できたと記されています。
経済産業省などでは今後、より技術的な内容を具体化したガイダンスの策定に向けて引き続き国際議論を進めていきます。
