KDDIなど5社がSBOM導入に向けた実証事業を開始 ガイドライン案を整備
5GやLTEネットワーク機器のセキュリティ強化を目指し、KDDI、KDDI総合研究所、富士通、NEC、三菱総合研究所がソフトウェア部品表(SBOM)の導入に向けた実証事業を開始した。
KDDIとKDDI総合研究所、富士通、NEC、三菱総合研究所の5社は、5GやLTEネットワーク機器などのサイバーセキュリティ強化を目指し、ソフトウェア部品表(SBOM)の導入に向けた実証事業を開始すると発表した。
同事業では国内外の動向調査や通信分野へのSBOM導入ガイドライン案の検討、通信機器に対するSBOMの作成と課題整理、SBOMの精度評価を実施する。
KDDIなど5社がSBOM導入に向けた実証事業を開始
通信システムに求められる機能は高度化、多様化が進んでいる。通信システムにおける基幹システムはソフトウェア部品の単純な組み合わせから、オープンソースソフトウェア(OSS)などのソフトウェア部品を含む複雑な組み合わせへと変化している。
これが脆弱(ぜいじゃく)なセキュリティを招く原因にもなっている。脅威アクターはOSSを含むソフトウェア部品に対してサイバー攻撃を仕掛けており、通信システムにおいてもリスクが顕在化している。
対策として、ソフトウェア部品の脆弱性情報を収集、提供しているサービスを活用する方法もあるが、通信システムで使われているソフトウェア部品を把握できていなければ、既存のサービスを活用することは困難だ。この課題に対応するためにSBOMの重要性が急速に高まっている。
5社は2023年7月31日のキックオフミーティングを開催後、SBOMの技術面および運用面の課題に関する調査を本格的に開始する。同事業では、以下の項目に関して調査および検討が実施される。
- 国内外の動向調査や通信分野へのSBOMの導入に向けたガイドライン案の検討。国内外の行政機関や民間団体などによるSBOMに関係した取り組みや既存ガイドラインを調査し、通信機器および当該機器のSBOMを作成、活用するためのガイドライン案を検討する
- 通信機器に対するSBOMの作成と課題整理。本事業を通じて通信事業者が実際に運用している設備の一部を対象としてSBOMを作成する
- 通信機器に対するSBOMの精度評価。作成したSBOMとツールで作成したSBOMの比較評価を実施し、精度評価や通信分野において着目すべき項目について分析することでSBOMの導入に向けた課題を整理する
同事業はKDDIが総務省から受託した「通信分野におけるSBOMの導入に向けた調査の請負」を受けて取り組むものとされている。
関連記事
- 「セキュア・バイ・デザイン」と「セキュア・バイ・デフォルト」の“戦術”とは? 全20項目を紹介
今、米国のサイバーセキュリティ当局を中心に、製品の開発段階でセキュリティを確保しようとする取り組み「セキュア・バイ・デザイン」と「セキュア・バイ・デフォルト」が進んでいる。製品から脆弱性を取り除くための“戦術”の内容を見てみよう。 - 脆弱性対応の“解像度”を高めよ アップデートだけでは全然足りない理由
「脆弱性対応=セキュリティアップデートを適用するだけ」という理解は少し解像度が低過ぎるかもしれない。岡田 良太郎氏がそもそも脆弱性対応とは何をどうすることなのか、近年注目のキーワード「SBOM」の意義とは何かなどを語った。 - SBOM管理のフォーマットよりも「独学」が最大のリスク OSSセキュリティに有識者の苦言
Apache Log4j問題を取り上げるまでもなく、企業ITにも広くOSSが浸透する現在、セキュリティ対策でもこれらに対応する必要がある。OSS開発コミュニティーはサプライチェーン管理の現状とセキュリティリスクをどう捉えているだろうか。 - SBOMが注目される理由 導入の後の取り組みが重要
セキュリティ領域で注目なキーワードといえば何を思い浮かべるでしょうか。攻撃を素早く検知して被害を最小限にするための「EDR」や、境界防御を一新して認証の考え方を根本的に変える「ゼロトラスト」などが思い浮かぶでしょう。今回はそれらのキーワードよりも新しい「SBOM」を考えてみたいと思います。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.