「取引先はSBOMを導入せよ」約6割が要求 義務化を期待する声も：Cybersecurity Dive

Sonatypeの調査によると、約60％の企業が取引先企業に対してSBOMを導入し、アプリケーションのセキュリティを高めるように求める傾向が強くなっている。

[David Jones，Cybersecurity Dive]

　Sonatypeが2023年8月3日（現地時間）に発表したレポートによると（注1）、バイデン政権が2021年にサイバーセキュリティ強化のための大統領令を発して以来、米国と英国の4分の3の企業がソフトウェア部品表（以下、SBOM）を導入している。

　同レポートによると現在、約60％の企業が取引先企業に対して、SBOMの導入を求めているという。リサーチコンサルティング企業のCensuswideが2023年5月に実施したこの調査は、年間売上高が5000万ドルまたは5000万ポンド以上のセキュリティ企業を監督する217人のITディレクターを対象としている。

SBOM義務化が民間企業に与える影響とは？

　「Apache Log4j」の脆弱（ぜいじゃく）性の影響を受けて、ソフトウェアセキュリティに対する新たな焦点が生まれた。これによって、全世界の企業が新しい方針や技術の採用を迅速化し、広く利用されているアプリケーションの脆弱性を早期に発見して軽減することが求められるようになった。

　2021年の大統領令は、ロシアに関連した攻撃者がSolarWindsに対して実行したソフトウェアサプライチェーン攻撃に対抗するものであり（注2）、バイデン政権がソフトウェアセキュリティを強化するための広範な取り組みの一環だった。この攻撃では、国家主導のハッカーがSolarWindsのITモニタリングプラットフォーム「Orion」にマルウェアを仕込んだ。

　その結果、このソフトウェアを使用していた数千の組織がリスクにさらされ、ハッカーは民間企業や政府機関の主要なコンピュータネットワークへのアクセスを得た。Microsoftによって「Nobelium」と名付けられた同じ攻撃者は、他の多数のテクノロジー企業に対する攻撃も開始した。

　バイデン大統領による大統領令は（注3）、連邦政府と取引のある企業にSBOMを導入するよう求めた。そのため、連邦政府と契約する業者は自社のソフトウェアのセキュリティに関する説明を余儀なくされた。

　Sonatypeの関係者によると大統領令によるSBOMの義務化は、民間企業のベンダーとの関係にも影響を及ぼしているという。

　SonatypeのフィールドCTO（最高技術責任者）であるイルッカ・トゥルネン氏は「SBOMを使用している企業数と、ベンダーにSBOMの使用を求めている企業数の両方に、私は強い感銘を受けている。ソフトウェアサプライチェーンのセキュリティに対する関心が連邦政府レベルで高まっており、変化を促していることは明らかだ」と話している。

　レポートでは、当初のSBOMの導入を求めている60％に加え、さらに37％が「将来的にSBOMの義務化を期待している」と回答しており、これはソフトウェア調達ポリシーの進化を反映している。

　この調査によると脆弱性スキャンやソフトウェア構成分析、サプライチェーンの自動化など、ソフトウェアセキュリティを監視する技術に企業は投資している。

（注1）Government intervention, the rise of SBOMs and the evolution of software supply chain security（Sonatype）
（注2）One year later: Has SolarWinds changed how industry builds software?（Cybersecurity Dive）
（注3）What to know about software bill of materials（Cybersecurity Dive）

原文へのリンク