サプライチェーンセキュリティにおけるコミュニケーションツールとしてのSBOM活用

2022-05-11

振り返り、サプライチェーンでのSBOM利用

本連載の第3回では、製品セキュリティにおいて、SBOMを活用することで脆弱性管理を高度化・効率化できることを説明しました。一方で、サプライチェーン全体でSBOMを活用することについては課題があります。今回は製品セキュリティでのサプライチェーン全体でのSBOM活用の課題とあるべき姿について説明します。

企業をまたいだSBOM管理のメリット

製品のセキュリティ品質を確保するためには、サプライチェーン全体でセキュリティ活動を行う必要がなります。複数の部品を組み合わせて1つの製品を作る場合、部品それぞれが十分なセキュリティ品質を確保していなければ、完成品のセキュリティ品質を確保することはできません。そのため、対象となる部品の開発に関わる全ての部品メーカーおよび完成品メーカーが十分なセキュリティ活動を実施していることが求められます。

SBOMの管理・運用は、このようなサプライチェーンをまたいだセキュリティ活動を実施する際にも効果があります。特に、最も有効にSBOMが活用されるのは、本連載の第3回でも触れた脆弱性管理および、その活動の1つである該非判定においてです。

該非判定において課題となるのは、それを「どの会社が実施するのか」「その活動費用をどの会社が負担するのか」という点です。部品メーカーは多くの場合、完成品メーカーからの委託を受けて開発を行っています。そのため、開発中の脆弱性管理・該非判定は容易に実施できるものの、受託開発が完了した後は、開発メンバーが解散されていることも多く、該非判定を実施する体制が既にないというケースが多々あります。一方、該非判定は、ソフトウェアを開発した部品メーカー自体が実施することが最も適切です。結果、該非判定を実施するためだけに、費用を誰が持つのか、脆弱性管理全体の責任分界点が議論の対象となります。

この課題の解決に、SBOMを活用することができます。つまり、部品メーカーが開発・納品した製品について、その中で利用するソフトウェアの情報を一元管理したSBOMを納品することで、完成品メーカーによる脆弱性管理を効率化することができます。この際、前回記事で紹介したように、SBOMのフォーマットを統一し、適切なツールを活用することで、該非判定を機械化することが可能になります。結果として、部品メーカーが該非判定する必要がなくなるため、そのための体制を維持する必要はなく、経費を削減することも可能となり、サプライチェーン全体で効率化および費用対効果の向上が期待できます。

セキュリティコミュニケーションツールとしてのSBOM活用

サプライチェーン全体でSBOMを管理する効用は、脆弱性管理や該非判定だけにあるわけではありません。サプライチェーン全体として実施すべきセキュリティ施策について、完成品メーカーと部品メーカーの間で認識を合わせ、コミュニケーションを図る際にも活用できます。

製品セキュリティの品質を確保するためには、関連するセキュリティ法規やガイドラインを踏まえ、多様なセキュリティ活動を実施する必要があります。例えば、適切な暗号アルゴリズムの利用、利用者情報・プライバシー情報の管理、業界スタンダードのセキュリティ機能導入などが挙げられます。

これらセキュリティ確保活動は、部品特性によって実施すべき事柄に差分が出てきます。例えば、外部との通信機能や個人情報を多く有する部品については、例示したような活動を十分に実施する必要がありますが、外部通信機能も持たず、ユーザーデータも扱わない部品であれば、実施する必要がない施策もあり得ます。

部品特性を踏まえ、実施が必要なセキュリティ施策については、完成品メーカーと部品メーカーが適切に認識を合わせる必要があり、コミュニケーションが日々行われていますが、そこにSBOMを活用することができます。

連載の第3回で説明したとおり、SBOMライフサイクルは製品設計フェーズから実施することが適切です。設計時に作成した完成前のSBOM情報を部品メーカーと完成品メーカーが共有することで、部品が持つソフトウェアの特性について共通理解をつくることができ、必要となる活動について適切に議論できるようになります。ただし、このような目的でSBOMを利用する場合、単にソフトウェア名称やバージョン情報を持つだけのSBOMでは不十分です。利用する暗号情報や利用者情報の活用有無、セキュリティ機能の保持といった情報も、SBOMに含む必要があります。

また、このようにSBOMを活用していれば、関連法規やガイドライン側に変更があった際にも、対応が必要な部品や部品メーカーを迅速かつ適切に特定することができます。そのため、脆弱性管理と同様に、製品出荷後のフェーズでもコミュニケーションツールとして利用することができます。

SBOMを考慮した脆弱性・脅威情報の発信のベストプラクティス

業界全体でSBOMの活用が浸透した後も、理想的な脆弱性対応には不足する要素があります。それは、脆弱性情報や脅威情報を発信する情報提供者の取り組みです。

脆弱性対応でSBOMを活用することの目的は、対象製品について関係する脆弱性・脅威情報を漏れなく、効率的に、正確性をもって該非判定することにあります。これを実現するには、提供される脆弱性・脅威情報自体も含め、全ての情報を一定の規格に則って記述し、SBOMとの突合を機械化することが求められます。

現時点でも、脆弱性・脅威情報の発信については、情報の定型化や記載する情報の統一を目的として、STIX/TAXIIなどが使われています。これにより、脆弱性と対象製品の突合の機械化が可能になっています。

ただし、全ての脅威情報や脆弱性情報が定型化されているわけでなく、セキュリティカンファレンスで発表される論文などは、自由な表現および筆者が必要とする項目によって脅威を説明しています。これらを業界として、脆弱性管理に活用できるようにする取り組みも必要となります。そのためには、各業界におけるISACなどの業界団体で、直近のカンファレンスで発表された最新動向などを定型の規格に従って再記述し、業界団体内に発信することが望ましいです。その上で、STIX/TAXIIなどで記述された脆弱性・脅威情報と、SBOMを機械的に突合可能にし、迅速にセキュリティ課題に対応できるようにすることが理想的な形であるといえます。