ソフトウェアセキュリティリスクに対応するSBOMを企業全体でどう活用するか
SBOMはソフトウェアに含まれる全てのコンポーネントを明確にし、セキュリティの透明性を確保するための基本的なツールです。法規制に基づく導入要求の背景、ソフトウェアサプライチェーンリスクの特性、 SBOM運用の課題、そしてどのようなアプローチが必要になるのかを解説します。
はじめに ーSBOMの活用が求められている背景
製造業においてソフトウェアを取り巻く環境が日々進化し、サイバー攻撃のリスクも増大する中、企業にとってソフトウェア部品表(SBOM:Software Bill of Materials)の重要性がかつてないほど高まっています。SBOMは、ソフトウェアに含まれる全てのコンポーネントを明確にし、セキュリティの透明性を確保するための基本的なツールです。しかし、SBOMを単なる構成管理表として捉えるのではなく、企業全体のセキュリティ戦略として活用するためには、明確な方針と実効的な運用が必要です。
本稿では、法規制に基づく導入要求の背景、ソフトウェアサプライチェーンリスクの特性、SBOM運用の課題、そしてどのようなアプローチが必要になるのかを掘り下げて解説します。
SBOMに関する国内外の法規制・制度
ソフトウェアサプライチェーンにおけるSBOMの重要性は今後ますます高まりを見せ、ガイドライン主流(soft law)から、法令主流(hard law)へのシフトが加速しています。特に、SBOMの国際標準化は自動車業界や医療機器業界を中心として進められてきましたが、ソフトウェアサプライチェーン攻撃の深刻さが認識される中、IT業界全体でも普及に向けた取り組みが本格化しています。その契機となったのは、2021年5月12日に米国のバイデン大統領(当時)が署名したサイバーセキュリティ強化のための大統領令であり、この大統領令によりSBOMは米国連邦政府の取り組みとなっています。
また欧州連合(EU)ではデジタル製品のセキュリティ対策を義務付ける「欧州サイバーレジリエンス法(CRA:EU Cyber Resilience Act)」が2024年12月10日に発効しています。CRAの付属書には、SBOMの利活用が明示されています。そこではSBOMを導入し、SBOMのデータを基にライフサイクル全体でデジタル製品の脆弱性を管理すること、企業間の情報共有や欧州委員会への報告のために、委員会より指定のフォーマットに従ってデータを作成し、公開可能とすることが要求されています。
日本では、経済産業省が「重要インフラ保護」の観点からSBOMの活用を推奨しています。また、デジタル庁の推進計画の中でもSBOMの利用が言及されており、特に大企業を中心に導入が進んでいます。従来から、セキュリティ推進策として米国やシンガポールのようなラベリング制度によってセキュリティ面に配慮した製品を識別できる制度の必要性を議論すべきとの声が高まっていたことから、独立行政法人情報処理推進機構(IPA)を中心としてセキュリティ要件適合評価及びラベリング制度(JC-STAR)の整備も進んでおり、同制度で、SBOMに関する言及がなされる可能性もあります。
これらの各国・地域の取り組みをまとめたのが図表1です。
図表1:SBOMに関する国内外の法規制や制度
| 法令・制度 | 時期 | 概況 |
Executive Order on Improving the Nation’s Cybersecurity (サイバーセキュリティ強化のための大統領令) |
2021年5月12日署名 |
|
| EU Cyber Resilience Act:CRA (欧州サイバーレジリエンス法) |
2024年12月10日発効 |
|
| セキュリティ要件適合評価及び ラベリング制度(JC-STAR) |
2025年3月開始 |
|
ソフトウェアサプライチェーンリスクの特性
近年、ソフトウェアの規模は拡大しており、多層的な依存関係によって成り立っています。例えば、1つのソフトウェアを取り上げてもオープンソースライブラリ、サードパーティツール、クラウドサービスなどが組み込まれており、それぞれに依存関係が連鎖しています。このような複雑性が、サプライチェーン攻撃のリスクを高める要因となっています。
攻撃者が狙う主なポイント
- ソフトウェアの開発環境
開発者が利用するツールやプラットフォームを標的にし、マルウェアを埋め込むケースがあります。その攻撃者はそのマルウェアを利用し、各開発環境に侵入し、攻撃を展開します。 - ソフトウェアの配布プロセス
正規のアップデートプロセスを悪用し、不正コードを広範囲に配布する手法は、多くの企業に対して大規模な被害を引き起こします。 - 既存の脆弱性
Log4jのような広く使用されているライブラリに脆弱性が発見されると、攻撃者はその脆弱性を悪用して一気に攻撃を仕掛けます。
具体的なサプライチェーン攻撃の事例
- コードカバレッジツールへの不正アクセスによるA社の情報漏えい
不正に書き換えられたコードカバレッジツールを実行することにより、認証情報が不正に窃取され、窃取された認証情報によりソースコードが漏えいしました。 - ネットワーク監視ソフトウェアのアップデートを悪用した攻撃
攻撃者はB社のアップデートファイルを改ざんし、第1段階として被害組織の情報をC2サーバーへと送信。第2段階として、その中でも興味がある標的を対象に新たなマルウェアを投入しました。
上記のような事例からも分かるとおり、ソフトウェアサプライチェーンリスクは、以下の特性を持ち合わせており、その対策は急務であると言えます。
- サプライチェーン影響の広範性:一つの脆弱性が多くの企業や組織に影響を与える
- 特定の困難さ:どのソフトウェアやコンポーネントが影響を受けているかを迅速に特定するのは難しい
- インシデント対応の遅延:被害を把握できないまま、時間が経過することで被害が拡大する
SBOM活用における課題
SBOM導入を社内外から求める声が高まる一方、SBOM活用に向けては依然として乗り越えるべき多くの課題があるのも事実です。日本の製造業におけるソフトウェアサプライチェーン管理としてSBOMを意識している企業の関連する部門に所属する方(300名)を対象としたアンケートでは、SBOMフォーマットや必要な情報の定義、脆弱性との突合を課題に挙げた回答者が多い結果となっています(図表2)。
図表2:SBOM管理に対する企業の課題意識(複数回答)
出所:PwCコンサルティング、日本シノプシス「ソフトウェアサプライチェーン実態調査」
またSBOMの管理には、IT部門だけでなく法務、調達、製品開発、品質保証など複数部門の連携が求められます。その際に発生する、責任所在の押し付けあいや情報の断絶による対応の遅れも、現場の声として上がっています。その他、私たちが支援している企業では、サプライヤーとの連携不足やコスト負担はどの組織が持つべきかなど、企業内の役割分担におけるマネジメント観点での課題も顕在化しています。
企業はどう立ち向かうべきか。解決の方向性
SBOMの活用を企業全体で取り組むには、どのように論点を組み立て、アプローチしていく必要があるのでしょうか。前述のとおり、企業ではSBOMの導入の初期の段階で、躓いているケースが多く見られます。そのような場合においては、例えば以下のようなアプローチを取ることが有効です。
1. SBOM活用目的の整理
SBOMは、ソフトウェアの透明性を高め、サイバーセキュリティや規制対応を強化するための重要なツールとなります。しかしその効果を最大化するためには、単なる導入に留まらず、「何を達成したいのか」という目的を組織全体で設定することが必要不可欠です。サイバーセキュリティの観点でいうと、脆弱性管理やインシデント対応が基本的な目的となります。一方で知財部や購買部、法務部の立場からは、ソフトウェアのコンプライアンス的な観点から第三者対応やライセンス管理などをSBOMに求めることになります。このようにSBOMの活用にあたっては、企業内でのさまざまな立場から目的を整理し、誰もが利益を享受できるよう建付けを整理していくことが肝要となります。
2. 推進チームの組成(役割分担の決定)
目的を整理したのちには、推進チームの組成をします。SBOMの活用は、単一の部署で完結することはありません。開発、IT運用、セキュリティ、調達、法務など複数の部署が関与するため全体を統括し、推進する仕組みが必要になります。推進チームを組成することにより、全社的なSBOM活用の効率化、リスク管理能力の向上、対象拡大時のスムーズな対応、経営層との円滑なコミュニケーションが可能になります。
3. 全社としてのガバナンスの在り方の設定
SBOM活用を社内全体に普及させていく際に決めておかなければならないポイントは、全社としてどこまでのガバナンスを効かせるかという点です。製品開発は、各部門が固有の環境や製品特性を把握していることがほとんどであり、全社で択一的な共通ルールを敷設するのは現実的ではありません。とはいえ、法規制対応や企業としての最低限のベースラインのルールを定めておかなければ、企業全体での構成管理の推進を底上げすることは難しくなります。推進チームが一体となり、この統制をどこまで利かせるのか(例:最低限のベースラインとなるルール・プロセスを展開し、プラットフォームとなる基盤を提供。ただし、部門で最適化させる領域については個別カスタマイズを可能とする等)を検討していくことが重要です。
4. プラットフォーム基盤とコスト負担元の整理
SBOMはソフトウェアの構成要素(オープンソースやサードパーティ製コンポ―ネントを含む)を網羅的に把握するために有用です。そのためデータ管理と可視化が可能なプラットフォームが必要となります。そこでは、プラットフォーム基盤を全社としてどこまで管理するのかを決めておく必要があります。例えばある企業では、基盤となるハードやOS/MW領域と共通設定までは全社統一のツールとして準備、それ以上のレイヤーでの個別カスタマイズについては部門で柔軟に変更して良いというポリシーで運用をしています。こうすることで、企業全体での最低限のベースラインとしての統制を効かせつつ、開発部門の開発自由度を担保することが可能となります。またその際には、導入コストや運用コスト、拡張時のコストをどこがどのような形態で負担するのかも、整理していく必要があります。
5. SBOMのフォーマットの設定
SBOMにはいくつかの標準フォーマットが存在し、それぞれの特性に応じて適切に選定する必要があります。例えば、SPDX(Software Package Data Exchange)はLinux Foundationが主導するオープンソースプロジェクトで国際標準(ISO/IEC 5962:2021)としても認定されています。特徴としては、オープンソースライセンス情報に特化、幅広いソフトウェアのコンポーネントの正確な識別が可能、多くのファイル形式(txt、JSON、YAML、RDF、XML)に対応可能であることが挙げられます。他にも、Cyclone DXなどのフォーマットがありますが、企業としての開発特性や法規制への対応などの目的と照らし、出力したい内容やファイル形式を踏まえて適切なフォーマットを選択する必要があります(図表3)。
図表3:出力内容をSPDXフォーマットに変換したときの例
6. サプライチェーン対応の在り方の決定
サプライチェーンの対応は、SBOMの状態を正確に最新に保つためには避けては通れません。特にソフトウェアはその依存関係から、自社だけで完結することが少なくサプライヤーからの納品物に対して、SBOMの提出を義務化することも必要になります。企業としては、有事の際や第三者からSBOMの提示を求められた際にサプライヤーと連携し、提示できるよう平時からサプライヤーとコミュニケーションを取り、必要に応じて契約書に盛り込んでおくなどの準備が肝要です。その重要性をしっかりと理解し、各部門に対するベースラインとしても、その観点を周知し、取り組みを徹底させることが重要です。
まとめ
SBOMを適切に運用することは、単なる技術的な課題ではなく、企業全体の組織的な取り組みを必要とする戦略的な課題です。コンポーネントの複雑な依存関係、継続的なアップデートの管理、迫りくる規制への対応など、これらは全て、企業の規模や業種を問わず直面する難題です。この先、SBOMを適切に整備し、企業全体で活用することは、サプライチェーン全体の透明性を確保し、セキュリティリスクを低減、そして何よりも顧客や市場からの信頼を勝ち得る最大の武器になっていきます。SBOMを「一部門の課題」ではなく、「全社の使命」として、経営層、開発チーム、セキュリティ部門などが一体となり、標準化や運用体制の確立に努めることが、これからの世の中のスタンダードに追随していく第一歩になるでしょう。
脆弱性管理の実効力を高めるSBOM
11 results
Loading...
欧州サイバーレジリエンス法~製造業が今すぐに取るべき対策~
欧州サイバーレジリエンス法(CRA)は、デジタル要素を含む製品のサイバーセキュリティを強化するための規則です。対象製品は規則に準拠していることを示すCEマークが必要となります。本稿では、製造業者が対応すべきCRAの法令要件の範囲やCEマーク利用のための適合性評価の流れを解説します。
サイバーセキュリティリスクが高まる今こそ見直したいCSIRT成熟度―SIM3活用による企業レジリエンスの向上―
サイバーセキュリティリスクが増している現状において、企業のセキュリティ対応の要となる組織の1つがCSIRTです。日本のCSIRTによく見られる課題や、CSIRTの成熟度評価、それを行うメリットを解説します。
日本企業の欧州サイバーレジリエンス法対応実態調査~SBOM活用状況と活用に向けた課題
PwCコンサルティング合同会社は2023年10月、日本国内の製品メーカーで働く580人を対象に、セキュリティ対策状況に関する調査を実施しました。本稿では調査結果を基に、日本の製品メーカーの製品セキュリティに対する意識・対応状況について解説します。
Loading...
インサイト/ニュース
20 results
Loading...
各国サイバーセキュリティ法令・政策動向シリーズ(5)ブラジル
各国サイバーセキュリティ法令・政策動向シリーズの第5回目として、ブラジルのデジタル戦略と組織体制、セキュリティにかかわる政策や法令とその動向などについて最新情報を解説します。
パーソナルデータの利活用におけるデジタル先進企業のプライバシーガバナンスの取組状況
プライバシーガバナンスは、プライバシー問題に関するリスクを適切に管理し、消費者やステークホルダーに対して責任を果たすことを指します。この見直しは、社会からの信頼を得るとともに企業価値の向上に寄与します。企業のプライバシーガバナンスへの取り組み状況として2社の事例をご紹介します。
脆弱性開示ポリシーと報奨金制度 ―脆弱性報告窓口運用におけるリスクと企業がとるべき戦略―
昨今の製品セキュリティを取り巻く規制や制度への対応に伴い、企業では脆弱性開示ポリシーの整備が進んでいます。脆弱性を迅速かつ効果的に修正し運用するための、脆弱性を発見した報告者と企業との協力関係の構築と、報告者に対して企業が支払う報奨金制度の活用について解説します。
JC-STAR普及に向けた政府動向とSecure by Demandによる製造メーカーへの影響
2025年3月末より、IoTセキュリティ適合性評価及びラベリング制度(JC-STAR)の運用が開始されました。行政機関や地方公共団体、民間企業に向けてさまざまな政府機関が発行するガイダンスについて紹介、解説します。
Loading...
