米当局、ITサプライチェーン対策を刷新 「書類依存」から実態重視に：セキュリティニュースアラート

米政府はIT分野のサプライチェーン対策において、書類上の自己申告に頼る枠組みを改め、実態重視の指針M-26-05を公表した。SBOMなどの証拠に基づくリスク管理を促すが、弱みもあるという。

[ITmedia エンタープライズ編集部]

　米国のサイバーセキュリティ専門メディア「SC Media」は2026年1月28日（現地時間）、米国連邦政府がソフトウェア供給網の安全対策で長年続けてきた「書類依存」の枠組みを見直し、実態に基づくリスク重視の運用へとかじを切ったと報じた。

　背景には、米国政府がこれまで安全性向上の手段としてベンダーの自己申告に大きく頼ってきた歴史がある。開発側に安全な設計を求める考え方自体は妥当だったが、実際には署名済み文書の提出が形式化し、現場の防御担当者が必要とする情報には直結しなかった。重大な脆弱（ぜいじゃく）性が発覚したときも、「どこに影響部品があるのか」「どの経路で露出しているのか」「優先的に対処すべき資産は何か」といった問いに即答できない状況が続いていたという。

ソフトウェア供給網の新指針　一方で課題も

　近年の事案も課題を浮き彫りにした。2024年3月には「xz/liblzma」の一部版に高度なバックドアが見つかり、攻撃者が長期にわたりプロジェクト内部で信頼を築いた末に不正コードを混入させていたことが判明した。同年6月の「polyfill.io」の件においては広く組み込まれた依存関係を通じて、改変済みJavaScriptが配信され、利用側が自覚しないまま危険にさらされる構図が示された。いずれも防御側には迅速な所在把握が求められたが、書面の約束では対応できなかった。

　こうした中、米国行政管理予算局（OMB）が出した覚書「M-26-05」は転換点と位置付けられる。従来の関連指針を撤回し、画一的なチェック項目よりも各機関のリスク評価に基づく判断を促す内容だ。形式的な順守より成果を重んじ、検証可能な証拠や実務で使える成果物に重心を移す姿勢が示された。

　重要視されているのがSBOM（ソフトウェア部品表）やHBOM（ハードウェア部品表）だ。SBOMはソフトを構成する部品や依存関係を機械可読形式で整理した一覧、HBOMはファームウェアや基板など物理層まで対象を広げたものだ。これらは安全を自動的に保証するものではないが「何を動かしているか」「何が露出したか」「何が弱いか」「何がサポート外か」「何が変わったか」といった基本的な把握を可能にする。

　M-26-05は安全な開発枠組みの参照を認め、契約条件によって要求があった際にSBOM提出を求めることも選択肢として示した。自己申告中心から実証可能な情報重視に軸足を移した点は、運用担当者や国家レベルの安全確保にとって前進と評価できる。

　他方で弱点も指摘される。覚書は各機関が「〜できる」とする柔軟な表現を多用しており、必須基準が乏しい。任務の違いを踏まえた裁量は必要だが、基礎的な入力がそろわなければ対応のばらつきが生じ、攻撃者に隙を与えかねない。連邦システムは相互接続されており、可視性に差があれば共同での脆弱性対応は遅れる。

　SC Mediaは方針を実効性あるものにするための方策として、影響度の高いシステムではSBOMやHBOMなどの証拠を事実上の基準とすること、形式や網羅性、更新頻度など品質要件を明確化して古い部品表が誤った安心感を生まないようにすること、データを集めるだけでなく自動化や検証ツールなど活用基盤を整えて機関が実務で使える形にすることの3点を挙げている。書類中心の対策を後退させる動きは理にかなうが、それを持続的な枠組みに置き換えられるかが問われている。