SBOM導入に際して参照すべき資料とそのポイント

主な参照資料の概要とポイント

#1：「サイバーセキュリティ強化のための大統領令」～SBOM普及が米国政府の取り組みとなり、「重要なソフトウェア」から義務化が始まることが予想される～

2021年5月12日、バイデン米大統領は高度なサプライチェーン攻撃や重要インフラ企業に深刻な被害を及ぼしたサイバー攻撃の発生などを背景に、サイバーセキュリティ強化のための大統領令¹に署名しました。この大統領令のセクション4はソフトウェアサプライチェーンセキュリティの向上に関するもので、ソフトウェアサプライチェーンセキュリティを向上するためのガイドラインやSBOMの最小要素の発行を命じています。これによりSBOMの普及は米国政府の取り組みとなりました。

この大統領令に基づき、米国国立標準技術研究所（NIST）は2021年7月8日、「Software Supply Chain Security Guidance Under Executive Order (EO) 14028 Section 4e（大統領令14028条第4e項に基づくソフトウェア・サプライチェーン・セキュリティ・ガイダンス）²を公開しました。このガイダンスには、ソフトウェアの購入者に対して、直接送付またはウェブサイトでの公開によってSBOMを提供することが含まれています。また、補助的な資料として「Critical Software Definition」（重要なソフトウェアの定義）³が公開されています。「重要なソフトウェア」は、ソフトウェアサプライチェーンのセキュリティを迅速に向上させるために優先的に対応すべきソフトウェアという位置付けであり、SBOMの義務化も「重要なソフトウェア」から始まることが予想されます。

#2：「サイバー・フィジカル・セキュリティ確保に向けたソフトウェア管理手法等検討タスクフォース資料」～日本ではSBOM活用促進に向けた実証テストと活用モデルの検討が進行中～

日本においては、経済産業省によるサイバー・フィジカル・セキュリティ確保に向けた取り組みの中でSBOMの検討が進んでおり、実証テストを通した活用モデルの整理が行われています。2022年度にはガイド／手引きの作成が予定されています。将来的には政府調達の要件にSBOMの導入・活用が含まれるなど、SBOM普及に向けた取り組みが具体化していくことが予想されます⁴。日本のSBOM普及に関する政策動向を把握するために、経産省のタスクフォースが公開している情報をモニタリングすることが推奨されます。

#3：「SBOMの最小要素」～「最小要素」の公開は米国大統領令に基づくSBOM普及のスタート地点～

サイバーセキュリティ強化のための大統領令に基づいて米商務省国家電気通信情報局（NTIA）が2021年7月12日に公開した「The Minimum Elements For a Software Bill of Materials」（以下、最小要素）⁵は、SBOMの最小要素としてデータフィールド、自動化への対応、および慣行とプロセスを定めた資料です。加えて、最小要素に留まらない広範なユースケースが提示されています。

SBOMはソフトウェアサプライチェーン全体の取り組みであるため、慣行およびプロセスにはコンシューマーとサプライヤーとのやりとりが含まれます。特に「ミスの許容」では、サプライヤーは過去のSBOMに間違いが見つかった場合すぐにアップデートを提供し、コンシューマーはペナルティを課すことなく補足や修正を受け入れることで継続的な改善を促進することが奨励されています。

#4：「ソフトウェアサプライヤー向けのプレイブック」～SBOM作成手順には、ソフトウェア開発・配布プロセスのバリエーションに応じた考慮事項がある～

NTIAが2021年11月17日に公開した「Software Suppliers Playbook: SBOM Production and Provision」（ソフトウェアサプライヤー向けのプレイブック：SBOMの製造と提供）⁶は、ソフトウェアサプライヤーがSBOMを作成するに当たって考慮すべき事項をまとめた定石集のような資料です。

SBOM作成の一般的な手順は次のようになります。

1. 成果物となるソフトウェアに含まれたソフトウェアコンポーネントを特定する
2. 成果物となるソフトウェアが使用するコンポーネントに関するデータを取得する
3. 構造化されたSBOMフォーマットにコンポーネントのデータを取り込む
4. SBOMのフォーマットが有効であることを検証し、最低限含まれるべき項目の存在を確認する

SBOM作成の手順はソフトウェアの開発・配布プロセスによってバリエーションがあり、それぞれに考慮事項があります。

• ビルド前のソースレベルでSBOMを作成する場合、最終的な実行ファイルに含まれないソースファイルがSBOMに含まれることがある
• バージョン管理システムやCI/CDパイプライン⁷を利用している場合、それらを活用してビルド時にSBOM作成を自動化することが可能になる
• コンテナイメージのSBOMを作成する際は、全てのレイヤーに含まれるソフトウェアを特定し、SBOMに含める必要がある
• ビルド後に作成されたSBOMには作成日時の情報を含める必要がある
• 実行時に利用するライブラリやDLLのようなコンポーネントがSBOMに含まれているかどうかを明示する必要がある
• インターネットサービスのような外部サービスの呼び出しに関する情報を可視化する必要がある

#5：「ソフトウェア利用者向けのプレイブック」～取得したSBOMはサプライヤーとの契約を遵守しながら適切に管理・活用する～

NTIAが2021年11月17日に公開した「Software Consumers Playbook: SBOM Acquisition, Management, and Use」（ソフトウェアコンシューマー向けのプレイブック：SBOMの取得、管理、および使用）⁸は、ソフトウェア利用者がSBOMを活用する際に考慮すべき事項をまとめた資料です。このプレイブックには、SBOMの取得、活用、および知的財産と機密保持に関する考え方がまとめられています。

特に活用については以下のプロセスやプラットフォームへのデータ連携が例として挙げられています。

• 構成管理データベース（CMDB）
• ソフトウェア資産管理（SAM）
• セキュリティオペレーションセンター（SOC）
• 調達に関するワークフロー（調達前の調査など）
• ソフトウェアサプライチェーンのリスク評価および管理

コンシューマーはサプライヤーから取得したSBOMのデータをツールを用いて構文解析し、これらのプラットフォームに連携します。SBOMを取り込むシステムのセキュリティコントロールについて契約上の定めがある場合、それに従わなければなりません。また取得したSBOMのファイルはライフサイクル管理を行い、SBOMが紐づくソフトウェア資産が存在しなくなるまでは保持する必要があります。ただし、SBOMの廃棄にはより高度な資産管理が必要になるため、SBOMのサイズが比較的小さいことを考慮すると、アーカイブとして保持することをデフォルトのライフサイクルポリシーとすべきです。

#6、7、8：「SWID、SPDX、CycloneDXの仕様」～データフォーマットの選定には政府・業界動向の注視と取引先との対話が必要～

#3の最小要素では次のデータフォーマットのいずれかを使用することが求められています。

• SPDX® Specification V2.2.1⁹
• CycloneDX¹⁰
• Software Identification(SWID) Tags¹¹

SPDXはISO/IEC 5962:2021¹²として、SWIDはISO/IEC 19770-2:2015¹³として国際標準化されています。これらのデータフォーマットは共通の構文でデータを表現しており、コアとなるデータフィールドには相互運用性が求められています。

経済産業省の実証テストでは、複数のツールで作成したSBOMの項目をSPDXの主な項目と比較し、対応関係を整理しています¹⁴。米国でもツールやフォーマットの相互運用性は重要視されており、NTIAのワーキンググループで検討されています¹⁵。SBOMを生成するツールは、脆弱性やライセンスを管理するための構成管理ツールが主ですが、最近、オープンソースのコンテナ型仮想化ソフトウェアDockerがコンテナイメージのSBOMをSPDXとCycloneDXを含む形式で生成するコマンド¹⁶をリリースしました。このコマンドは実験的なものであり今後変更や削除が行われる可能性があるものの、SBOMの普及が本格化していくことを示す興味深い動きだと言えます。

データフォーマットはソフトウェアサプライチェーンの中で組織を越えてSBOMをやりとりするための規格であるため、フォーマットの選定とデータフィールドの決定にはコンシューマー・サプライヤー間での合意形成が必要になると考えられます。経済産業省によるヒアリングでも、SBOM共有のためにはフォーマットや部品粒度等を揃えて要件化する必要があることが課題として挙げられています¹⁷。SBOM共有方法の要件化には国内や業界ごとのコンセンサス形成だけでなく他国との調整も必要だと考えられるため、ソフトウェアサプライチェーンのセキュリティを向上するという共通の目的のもと、官民が連携して取り組んでいくことが求められます。