ソフトウェアセキュリティリスクに対応するSBOMを企業全体でどう活用するか
SBOMはソフトウェアに含まれる全てのコンポーネントを明確にし、セキュリティの透明性を確保するための基本的なツールです。法規制に基づく導入要求の背景、ソフトウェアサプライチェーンリスクの特性、 SBOM運用の課題、そしてどのようなアプローチが必要になるのかを解説します。
企業におけるソフトウェア管理のガバナンス
2022-05-12
はじめに
これまでの連載第1回~4回では、ソフトウェア部品表(SBOM:Software Bill of Material、「エスボム」と発音)の概要や効果、製品セキュリティの文脈におけるその活用方法を紹介してきました。第5回では、少し検討範囲を広げて、企業におけるソフトウェア資産をどのように管理すべきかを考察します。
デジタル化が進んだ今日の企業は、従来のようにソフトウェアを購入して使用するという「利用者」の立場だけでなく、自社の製品やサービスを通じてソフトウェアを市場に提供するという「提供者」の立場を持ち合わせています。
本連載のテーマであるSBOMは、その概念の由来が製造業であることからも、特に「提供者」としての立場でソフトウェア管理を行う際に適したソリューションであると言えます。一方で、「利用者」の立場においては、ISMS(情報セキュリティマネジメントシステム)やNIST CSF(サイバーセキュリティフレームワーク)等のフレームワークでも要求されている構成管理(資産管理、変更管理、脆弱性管理などの付帯機能も含む)がSBOMに相当するソフトウェア管理として位置付けられます。
いずれも、自社が利用するソフトウェア情報を管理し、当該ソフトウェアの利活用においてセキュリティ上のリスクないかを確認するという役割が求められています。
ソフトウェア管理業務の担い手の検討
ではまず、企業におけるソフトウェア管理をどの部門で担うかを考えてみましょう。
ソフトウェア管理業務のゴールは、ソフトウェアの情報を収集することではなく、収集した情報をもとにリスクがないかを判断することです。誰もができうる業務ではないため、専門スキルを有する部門の関与なしでは、目的を果たすことはできないでしょう。多くの企業では、CSIRTやPSIRTなどのセキュリティ専門組織を設置しているため、これらの組織にソフトウェア管理を任せるのが自然です。
一方で、CSIRTやPSIRTなどの1つの組織・部門が、自社に関わる全てのソフトウェア情報を漏れなく収集することは困難と考えられますので、情報を集めるという役割と、活用するという役割を分けてガバナンスを構築する必要があります。
ソフトウェア管理は、ソフトウェアが活用される製品やサービスに違いがあっても、情報を収集して管理をしていくという業務には共通性が見られますので、製品やサービス単位で管理機能を持たせるよりも、上図のように組織を横断して全体で管理していくガバナンスが望ましいと言えるでしょう。
ソフトウェア管理業務のスコープの整理
次に、企業におけるソフトウェア資産に対して、SBOM、構成管理のどちらの管理方法を選択すべきかを考えてみましょう。
SBOMは、製品やアプリケーションを構成するOSS(オープンソースソフトウェア)などの構成要素やその依存関係を管理していきます。この管理によって、ソフトウェアのサプライチェーンが把握でき、脆弱性の早期対処やライセンス準拠の確認などの製品・アプリケーション自体のリスクが低減できます。
では、全てのソフトウェア管理をSBOMで実施することが最善でしょうか。答えはNoです。
「利用者」の立場で製品やソフトウェアを購入した場合、その安全性は開発元によって保守されます。製品の保守を購入する限り、開発元で脆弱性の検査が行われ、安全なソフトウェアが提供されます。つまり、SBOMによるソフトウェア管理を行うのは開発元であり、利用者は購入したソフトウェアを開発元と同等レベルで管理するのは過剰と言えます。
「利用者」となる場合のソフトウェア管理は、構成管理を通じてソフトウェアのバージョンとその脆弱性または最新バージョンの提供状況を確認することが、自社の責務と整理するのがよいでしょう。なお、自社でスクラッチ開発した業務アプリケーションなどは、それを安全に維持するのは自社の責務となることから、SBOM相当の管理を行うことが望ましいと言えます。
ソフトウェア管理業務で扱う情報の違い
最後に、SBOMと構成管理で取り扱う情報の違いについて整理しましょう。
SBOMは、標準的な情報管理のフォーマットがISO等のガイドラインで定められており、ソフトウェア名称やバージョン、依存関係などが挙げられます。ソフトウェアを安全に提供することが主眼となる管理形態であるため、構成管理に比べると管理する情報の範囲は狭いと言えます。
一方、構成管理、とりわけサイバーセキュリティ資産管理では、ソフトウェア名称やバージョンの他に、設置場所やIPアドレスなどの環境情報や、保有するデータの区分、平時の起動プロセスや有事の初動対応など、広範囲の情報が求められます。これは、ソフトウェア利用の安全性の担保だけでなく、有事の際の判断や対処などの品質向上も目的に挙げられるためです(サイバーセキュリティ資産管理の詳細は、「『サイバーセキュリティ資産管理』によるCSIRTパフォーマンスの最大化」を参照)。
上述の通り、SBOMと構成管理は、取り扱う情報の範囲が大きく異なることから、同一のデータベースで管理することは不向きと言えます。また、情報収集などのそれぞれの処理の自動化を検討する際にも、機能要件が異なると考えられるため、現時点ではCSIRTにおいて構成管理、PSIRTにてSBOMという目的に見合ったツールを選定して、それぞれ管理することが実効的です。
脆弱性管理の実効力を高めるSBOM
11 results
Loading...
欧州サイバーレジリエンス法~製造業が今すぐに取るべき対策~
欧州サイバーレジリエンス法(CRA)は、デジタル要素を含む製品のサイバーセキュリティを強化するための規則です。対象製品は規則に準拠していることを示すCEマークが必要となります。本稿では、製造業者が対応すべきCRAの法令要件の範囲やCEマーク利用のための適合性評価の流れを解説します。
サイバーセキュリティリスクが高まる今こそ見直したいCSIRT成熟度―SIM3活用による企業レジリエンスの向上―
サイバーセキュリティリスクが増している現状において、企業のセキュリティ対応の要となる組織の1つがCSIRTです。日本のCSIRTによく見られる課題や、CSIRTの成熟度評価、それを行うメリットを解説します。
日本企業の欧州サイバーレジリエンス法対応実態調査~SBOM活用状況と活用に向けた課題
PwCコンサルティング合同会社は2023年10月、日本国内の製品メーカーで働く580人を対象に、セキュリティ対策状況に関する調査を実施しました。本稿では調査結果を基に、日本の製品メーカーの製品セキュリティに対する意識・対応状況について解説します。
Loading...
インサイト/ニュース
20 results
Loading...
各国サイバーセキュリティ法令・政策動向シリーズ(5)ブラジル
各国サイバーセキュリティ法令・政策動向シリーズの第5回目として、ブラジルのデジタル戦略と組織体制、セキュリティにかかわる政策や法令とその動向などについて最新情報を解説します。
パーソナルデータの利活用におけるデジタル先進企業のプライバシーガバナンスの取組状況
プライバシーガバナンスは、プライバシー問題に関するリスクを適切に管理し、消費者やステークホルダーに対して責任を果たすことを指します。この見直しは、社会からの信頼を得るとともに企業価値の向上に寄与します。企業のプライバシーガバナンスへの取り組み状況として2社の事例をご紹介します。
脆弱性開示ポリシーと報奨金制度 ―脆弱性報告窓口運用におけるリスクと企業がとるべき戦略―
昨今の製品セキュリティを取り巻く規制や制度への対応に伴い、企業では脆弱性開示ポリシーの整備が進んでいます。脆弱性を迅速かつ効果的に修正し運用するための、脆弱性を発見した報告者と企業との協力関係の構築と、報告者に対して企業が支払う報奨金制度の活用について解説します。
JC-STAR普及に向けた政府動向とSecure by Demandによる製造メーカーへの影響
2025年3月末より、IoTセキュリティ適合性評価及びラベリング制度(JC-STAR)の運用が開始されました。行政機関や地方公共団体、民間企業に向けてさまざまな政府機関が発行するガイダンスについて紹介、解説します。
Loading...
