SBOMが注目される理由 導入の後の取り組みが重要：半径300メートルのIT

セキュリティ領域で注目なキーワードといえば何を思い浮かべるでしょうか。攻撃を素早く検知して被害を最小限にするための「EDR」や、境界防御を一新して認証の考え方を根本的に変える「ゼロトラスト」などが思い浮かぶでしょう。今回はそれらのキーワードよりも新しい「SBOM」を考えてみたいと思います。

[宮田健，ITmedia]

　SBOMとは、「ソフトウェア部品表」などと呼ばれることがあります。SBOMが注目される背景には2021年5月12日に発行された米国大統領令「Improving the Nation’s Cybersecurity」が関係しています。これはサイバー攻撃に対して「デジタルインフラの透明性を高める」ための対策を求めるものです。

図1　大統領令「Improving the Nation’s Cybersecurity」（出典：The White HouseのWebページ）

　「デジタルインフラの透明性の高さ」とはどういうことでしょうか。ITの世界では「インフラ部分の信用無くして重要な情報を流すことはできない」という鉄則があります。インフラ部分のOSやソフトウェアなどに何らかの脆弱（ぜいじゃく）性や不正なライブラリなどの信用できないものが混入していないことが透明性の高いインフラだと考えられるでしょう。

　これまでにも、不正なアプリをきっかけとするサイバー攻撃が幾つもありました。例えば2020年のSolarWindsへの攻撃では、「水飲み場攻撃」が実施されました。これは、多くの人がダウンロードを行う場所を狙ってソフトウェアを差し替えたり、アップデートの仕組みを悪用して不正なものダウンロードさせたりする「待ち伏せ型」の攻撃です。このような攻撃が実施されると、それまで信頼できたインフラがあるタイミングで乗っ取られ、信頼できないものに変化します。

　最近、オープンソースソフトウェアで事件が起きました。あるライブラリに大きな脆弱性が含まれており、実はそのライブラリが多くのアプリに影響したのです。ご存じのようにこれは「Apache Log4j」の問題です。

　これは厳密には攻撃ではなく「脆弱性の発現」ですが、もしこれを悪意ある攻撃者が利用してゼロデイ攻撃などを開始した場合、そのライブラリがどこに含まれているのかが明確に分からなければ対策は長期化するでしょう。その間、インフラが信頼できない状態になるかもしれません。

　そこで重要なのがSBOMです。SBOMはソフトウェア部品表として、「アプリケーションに含まれるライブラリのバージョンを統一されたフォーマットで管理し、何らかの“部品”に脆弱性が見つかった場合には自社内でどのシステムが影響を受けるかを明らかにすること」ができるようになります。

　大統領令では米国政府が利用するシステムにおいてこのSBOMが、インフラの「透明性を高める」一つの方法として明記されました。現在では多くのセキュリティベンダーがSBOMを推奨しています。

　最近ではGoogleがSBOMに関連するドキュメントを公開しており、日本語で読めるようになっています。MicrosoftはSBOMを生成するツールをオープンソースソフトウェアとして提供しています。気になる方はこれらにも目を通してみてください。

SBOMがあれば安心か

　最近のセキュリティソリューションと同様に、SBOMも「ソリューションを入れるだけで安全が強化される」ものではありません。そもそもSBOMの考え方は新しいものではなく、これまでにも似たようなことが資産管理ツールなどでできたのではないかと思います。