「取引先はSBOMを導入せよ」約6割が要求 義務化を期待する声も:Cybersecurity Dive
Sonatypeの調査によると、約60%の企業が取引先企業に対してSBOMを導入し、アプリケーションのセキュリティを高めるように求める傾向が強くなっている。
Sonatypeが2023年8月3日(現地時間)に発表したレポートによると(注1)、バイデン政権が2021年にサイバーセキュリティ強化のための大統領令を発して以来、米国と英国の4分の3の企業がソフトウェア部品表(以下、SBOM)を導入している。
同レポートによると現在、約60%の企業が取引先企業に対して、SBOMの導入を求めているという。リサーチコンサルティング企業のCensuswideが2023年5月に実施したこの調査は、年間売上高が5000万ドルまたは5000万ポンド以上のセキュリティ企業を監督する217人のITディレクターを対象としている。
SBOM義務化が民間企業に与える影響とは?
「Apache Log4j」の脆弱(ぜいじゃく)性の影響を受けて、ソフトウェアセキュリティに対する新たな焦点が生まれた。これによって、全世界の企業が新しい方針や技術の採用を迅速化し、広く利用されているアプリケーションの脆弱性を早期に発見して軽減することが求められるようになった。
2021年の大統領令は、ロシアに関連した攻撃者がSolarWindsに対して実行したソフトウェアサプライチェーン攻撃に対抗するものであり(注2)、バイデン政権がソフトウェアセキュリティを強化するための広範な取り組みの一環だった。この攻撃では、国家主導のハッカーがSolarWindsのITモニタリングプラットフォーム「Orion」にマルウェアを仕込んだ。
その結果、このソフトウェアを使用していた数千の組織がリスクにさらされ、ハッカーは民間企業や政府機関の主要なコンピュータネットワークへのアクセスを得た。Microsoftによって「Nobelium」と名付けられた同じ攻撃者は、他の多数のテクノロジー企業に対する攻撃も開始した。
バイデン大統領による大統領令は(注3)、連邦政府と取引のある企業にSBOMを導入するよう求めた。そのため、連邦政府と契約する業者は自社のソフトウェアのセキュリティに関する説明を余儀なくされた。
Sonatypeの関係者によると大統領令によるSBOMの義務化は、民間企業のベンダーとの関係にも影響を及ぼしているという。
SonatypeのフィールドCTO(最高技術責任者)であるイルッカ・トゥルネン氏は「SBOMを使用している企業数と、ベンダーにSBOMの使用を求めている企業数の両方に、私は強い感銘を受けている。ソフトウェアサプライチェーンのセキュリティに対する関心が連邦政府レベルで高まっており、変化を促していることは明らかだ」と話している。
レポートでは、当初のSBOMの導入を求めている60%に加え、さらに37%が「将来的にSBOMの義務化を期待している」と回答しており、これはソフトウェア調達ポリシーの進化を反映している。
この調査によると脆弱性スキャンやソフトウェア構成分析、サプライチェーンの自動化など、ソフトウェアセキュリティを監視する技術に企業は投資している。
(注1)Government intervention, the rise of SBOMs and the evolution of software supply chain security(Sonatype)
(注2)One year later: Has SolarWinds changed how industry builds software?(Cybersecurity Dive)
(注3)What to know about software bill of materials(Cybersecurity Dive)
関連記事
- 脆弱性対応の“解像度”を高めよ アップデートだけでは全然足りない理由
「脆弱性対応=セキュリティアップデートを適用するだけ」という理解は少し解像度が低過ぎるかもしれない。岡田 良太郎氏がそもそも脆弱性対応とは何をどうすることなのか、近年注目のキーワード「SBOM」の意義とは何かなどを語った。 - KDDIなど5社がSBOM導入に向けた実証事業を開始 ガイドライン案を整備
5GやLTEネットワーク機器のセキュリティ強化を目指し、KDDI、KDDI総合研究所、富士通、NEC、三菱総合研究所がソフトウェア部品表(SBOM)の導入に向けた実証事業を開始した。 - SBOMが注目される理由 導入の後の取り組みが重要
セキュリティ領域で注目なキーワードといえば何を思い浮かべるでしょうか。攻撃を素早く検知して被害を最小限にするための「EDR」や、境界防御を一新して認証の考え方を根本的に変える「ゼロトラスト」などが思い浮かぶでしょう。今回はそれらのキーワードよりも新しい「SBOM」を考えてみたいと思います。 - SBOM管理のフォーマットよりも「独学」が最大のリスク OSSセキュリティに有識者の苦言
Apache Log4j問題を取り上げるまでもなく、企業ITにも広くOSSが浸透する現在、セキュリティ対策でもこれらに対応する必要がある。OSS開発コミュニティーはサプライチェーン管理の現状とセキュリティリスクをどう捉えているだろうか。
© Industry Dive. All rights reserved.