OSSを使うならSBOM対応は欠かせない HISOLが「SBOM管理サービス」を開始
日立ソリューションズは「SBOM管理サービス」を開始した。SBOMを一元管理し、各種リスクの検知と対応、ベストプラクティスの適用や情報分析・活用を実現する。
日立ソリューションズは2023年12月13日、ソフトウェア部品表(以下、SBOM)を一元管理し、各種リスクの検知と対応、ベストプラクティスの適用や情報分析・活用を実現するプラットフォーム「SBOM管理サービス」の販売を開始した。
同社は2023年12月12日に記者発表会を開催し、SBOMが注目を集める背景や国内外の動向、SBOM管理サービスの概要や詳細について説明した。
OSSを使うならSBOM対応は欠かせないものになる
自動車や通信、医療、社会インフラなどさまざまな業界の製品自動車や通信、医療、社会インフラなどさまざまな業界の製品・サービス開発において、利便性の高いオープンソースソフトウェア(OSS)は欠かせないものになっている。
日立ソリューションズの渡邊 歩氏(ITプラットフォーム事業部 デジタルアクセラレーション本部 シニアOSSスペシャリスト)は「今や1つの製品で数百〜数万個のOSSを使用していることもある他、あるOSSが別のOSSを内包して利用しているケースなど、構成は多段階かつ複雑化し、ブラックボックスとなっている。そのため1つの製品の中にどのOSSがどのような構成で使われているかを把握するのは非常に困難だ」と話す。
渡邊氏によると、OSSがブラックボックスとなることで脆弱(ぜいじゃく)性やOSSのライセンス違反、地政学的リスク、プロテストウェアといったリスクが生まれてしまうという。また、近年特に注目すべきリスクがソフトウェアのサプライチェーンを狙ったサイバー攻撃だ。コンポーネントを把握せずに脆弱性が含まれているOSSを意図せずに利用すると、サイバー攻撃侵入の糸口となってしまう可能性がある。
これに対応するための手段として注目が集まっているのがSBOMだ。SBOMは製品やサービスに含まれるソフトウェアを構成するOSSや商用ソフトウェアなどの情報をまとめたものだ。コンポーネントの名称やバージョン、依存関係など複数の要素を一覧化する。
日本はSBOMを国際標準戦略の一つに位置付けており、SBOMに関する知見の整備や取引モデルのツール整備などが進められている。経済産業省は2023年7月に「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引」を策定し、ソフトウェアサプライヤー向けにSBOMを導入するメリットや導入のポイントをまとめている。
日本以外でも2021年に米国で発令された、サイバーセキュリティ改善に関する大統領令では、政府機関に納品するソフトウェアについて原則としてSBOMの作成と提供を要請しており、欧州連合(EU)では、販売される全てのデジタル製品にSBOMを活用したセキュリティ対策を義務付ける「サイバーレジリエンス法」が2025年に施行される見込みだ。現在は、自動車業界や医療業界などでSBOM対応が先行しているが、今後この取り組みはより促進されるとみられる。
SBOM管理サービスの2つの特徴
このように注目を集めるSBOMだが、導入する上で「何からすればいいのか分からない」「SBOMを一元管理したい」「SBOM管理を自動化したい」などの課題が挙がることが多い。これを解消するのが今回発表されたSBOM管理サービスだ。
SBOM管理サービスの特徴は以下の通りだ。
1.さまざまな形式のSBOMをサプライチェーン内で共有し、迅速な意思決定とセキュリティを確保
企業が取り扱うSBOMには、自社で作成したものやサプライヤーから提供されたものなど、複数の標準フォーマットがある他、SBOM生成ツールごとの特性による差分などの影響で一元管理することが難しいという課題がある。SBOM管理サービスは、異なるツールで作成したさまざまな形式のSBOMを、単一プラットフォームで一元管理する。この他、サプライチェーンを構成する企業間で情報共有できるため、SBOM情報や脆弱性情報の共有とスムーズな連携が可能になる。
2.製品やシステムの日々の脆弱性監視を自動化し、問題の検出時には詳細情報を通知
システムを構成するソフトウェア部品の識別情報(CPE)とコンポーネントを自動でひもづけ、その情報を基にシステムに影響を及ぼす脆弱性を自動で検知する。これによってシステムに潜在する脆弱性情報の迅速な把握が可能になる。ユーザーが監視対象に設定したSBOMに問題が検出された場合は、脆弱性の詳細情報や影響度などの対応に必要な情報を通知する。
渡邊氏は「今後も機能エンハンスを予定しており、ライセンス違反などのコンプライアンス対応やISO/IEC 5230などの国際標準の適用支援、PSIRTシステムとの連携など幅広い機能を追加する計画だ。これまでSBOMを使ってきている業界だけでなく、SBOM管理が今後重要になる金融や通信、航空業界にもターゲットを広げていきたいと考えている」と話した。
SBOM管理サービスは年間サブスクリプション価格330万円で提供される。
関連記事
- 脆弱性対応の“解像度”を高めよ アップデートだけでは全然足りない理由
「脆弱性対応=セキュリティアップデートを適用するだけ」という理解は少し解像度が低過ぎるかもしれない。岡田 良太郎氏がそもそも脆弱性対応とは何をどうすることなのか、近年注目のキーワード「SBOM」の意義とは何かなどを語った。 - サイバー攻撃者はなぜギャンブル業界を狙うのか? お金だけじゃないその理由
サイバー攻撃者は近年、ギャンブル業界を標的にしたランサムウェア攻撃を仕掛ける傾向にある。一体なぜこの業界が狙われているのか。理由は金銭だけではないようだ。 - 「取引先はSBOMを導入せよ」約6割が要求 義務化を期待する声も
Sonatypeの調査によると、約60%の企業が取引先企業に対してSBOMを導入し、アプリケーションのセキュリティを高めるように求める傾向が強くなっている。 - サイバーレジリエンスを俯瞰しよう 310ページに及ぶNIST資料を分かりやすく解説
“サイバーレジリエンス”と一口に言っても、その目的や実現するための手法はさまざまで全体像をつかむのも一苦労です。そんな皆さんの悩みを解消するため、筆者が310ページに及ぶドキュメントをかみ砕いて解説します。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.