SBOMによるソフトウェア脆弱性管理～近年の動向と導入のポイント

2024/11/25

by 越水 喜之

オープンソースソフトウェアの活用が多くの業界で一般化した結果、サイバーセキュリティ対策の重要性が高まっています。オープンソフトウェアを活用する企業に対して、政府や各業界団体からは、SBOM（Software Bill of Materials：ソフトウェア部品表）によるソフトウェアの適切な管理が求められるようになっています。

そこで今回は、オープンソースソフトウェアを利用する際のリスクや、SBOMの概要を説明し、政府やさまざまな業界（金融、自動車、医療、ソフトウェア）の動向をふまえながら、SBOMツール導入のポイントをご紹介します。

オープンソースソフトウェア活用の拡大とリスク

オープンソースソフトウェア（以下、OSS）は、そのソースコードが公開され、改変や再配布が可能な無償で利用できるソフトウェアです。世界中の有志によって継続的に改良されるのも特徴です。

OSSの活用は、システム開発の効率化などを目的として一般的になっており、その適用範囲は、個人情報や機密情報を扱うような高い信頼性が求められるシステムにも拡大しています。さらに純粋なIT領域にとどまらず、車載システムや産業機器などに搭載する組み込みソフトウェアでも利用されており、自動車や医療機器といった製品の信頼性が私たちの生命にも直結するような製品にも組み込まれてきています。

このように現在では利用が当たり前になっているOSSですが、利用には当然リスクも伴います。著作者によって、保守期限が定められたり、動作が保証されているわけではないので、短期間で改良が停止する可能性もあります。また、ソースコードが公開されているため一般的には脆弱性が発見されやすいと言われていますが、それも早急に対応されるとは限りません。

リスクの代表的な例として、2021年12月に発見されたApache Log4jにおける任意コード実行の脆弱性があります。Javaでよく利用されてきたOSSのログ出力モジュールですが、発見された脆弱性を悪用されると情報漏えいやマルウェア感染などにつながる恐れがありました。このOSSは広く利用されていたことに加えて、部品として様々なソフトウェア製品の中に組み込まれていたために、影響範囲も広く、対策に多くの時間がかかってしまいました。

また、OSSの利用にあたってはコンプライアンス上、ライセンスの内容を把握して遵守しなければなりません。OSSによって、複製、配布、改変、実行など、利用者の持つ権利が異なることにも注意が必要です。

OSS管理で注目される「SBOM」とは

OSS利用のリスクとうまく付き合うためには、どのOSSを利用しているのか、脆弱性が顕在化した場合にどのような影響が及ぶのか、ライセンスを遵守できているのか、といった情報を可視化して管理しておく必要があります。

その手段として注目されているのが、SBOM（Software Bill of Materials：ソフトウェア部品表）です。

経済産業省はサイバー攻撃に備える意味でもSBOMの活用を推進しており、商務情報政策局サイバーセキュリティ課が「ソフトウェア管理に向けたSBOM（Software Bill of Materials）の導入に関する手引」を2024年8月に公表しています。

その中ではSBOMを「ソフトウェアコンポーネントやそれらの依存関係の情報も含めた機械処理可能な一覧リスト」とし、食品パッケージの表示に例えています。食品に含まれる原材料やサプライチェーンを通じた加工などが分かれば、アレルギーや病気で食べられない食品を避けられることに似ていることを説明した上で、ソフトウェアはそれよりも複雑で作成後も動的に変更されるものだと付け加えています。

SBOMによるソフトウェア管理を求める動きが広がる

SBOMは欧米や中国、台湾などでは法規制に取り込まれており、法整備という観点では日本が遅れている印象を受けます。日本では、先ほど紹介したように経済産業省がガイドラインを公表してSBOMの活用を推進しているほか、OSSの活用が広がる各業界団体や監督当局が活用を呼びかけたりガイドラインを整備したりしている状況です。

金融庁が2024年10月に公表した、「金融分野におけるサイバーセキュリティに関するガイドライン」では、サイバーセキュリティリスクの特定に関する記述の中で、自社開発のソフトウェアや利用しているサービスに関するSBOMの整備を「対応が望ましい事項」としています。

最近では「タイヤのついたスマートフォン」などと表現されるようになった自動車分野でも、OSSを活用する中でSBOMに着目しています。国連欧州経済委員会の自動車基準調和世界フォーラム（WP29）における自動運転の分科会において取りまとめられた規則（UN-R155、UN-R156）の適用が日本でも求められていますが、この規則（UN-R155）に参照されている自動車のサイバーセキュリティ規格「ISO/SAE21434」では、ソフトウェアの構成管理に言及しています。

また、経済産業省や米国運輸省道路交通安全局の動向からも、今後はSBOMによる構成管理が求められていくものと考えられます。業界団体では、日本自動車工業会と連携しながらサイバーセキュリティ対策に取り組むJapan Automotive ISACが、自動車業界におけるSBOM活用の道筋を示すための活動を行っているところです。企業でも動きがあり、トヨタ自動車やデンソーではすでにSBOMによってOSSのリスク低減を図っていると報じられています。

医療分野では2023年4月、薬機法における医療機器の基本要件基準にサイバーセキュリティに関する項目が追加され、プログラムを用いた医療機器はJIS規格（JIS T 81001-5-1）に準拠したサイバーセキュリティ対策が必須となりました。この規格の箇条８「ソフトウェア構成管理プロセス」の要求事項には、「構成管理プロセスは、当該医療機器のソフトウェア部品表（SBOM）を適切に作成することによって確認すること」と明記されています。実際に、医療機器メーカーにおいてSBOM整備の機運が高まっていることを感じます。

ソフトウェア業界でも、米国立標準技術研究所（NIST）の動向などを背景に、SBOMの整備や提供が行われています。

このほかの動向としては、OSSを活用する企業において、全社的に横串でOSSを管理する部門「OSPO（オープンソースプログラムオフィス）」が設立されるようになっています。OSPOは、OSSの管理や戦略について監督することを目的に設立される部門または組織体です。OSSに関するポリシーの制定、ライセンスコンプライアンスの遵守、プロジェクトへの貢献などを推進し、OSSの効果的な利活用と戦略的なコミュニティ連携を主導します。

SBOM導入のポイント

OSSの利用、ライセンス管理、脆弱性管理には、SBOMツールの利用が必須です。しかし、SBOMを導入したものの、上手に利活用ができていないといった悩みで困っている企業も見られます。そこで、これからはSBOMを適切に活用していくために必要なポイントをご紹介します。

・最適なSBOMツールの選定
SBOMツールは無償ツールから商用ツールまで様々なツールがあります。どの情報をどの水準で管理したいのかなどのお客様の要件を明確にした上でツールを選定しなければ、コストが割高だったり、導入したけれど管理したい情報が取得できなかったりすることがあります。様々なSBOMツールの中から、お客様の要件を満たすことができる適切なツールを選定し導入することがSBOMの導入において重要なポイントとなります。

・SBOM情報の一元化と、管理、対策（ライセンス、脆弱性）のプロセス定義
SBOMツールで情報を集めるだけでは、その価値を発揮できません。その情報をもとに、ライセンス違反や脆弱性を発見することが目的です。目的達成のためには、「ライセンス違反の観点と基準」と「脆弱性対策要否の観点と基準」を策定し、その観点と基準に沿ってライセンス違反や脆弱性を発見するプロセスを定め、組織的に運用することが重要です。今後は、SBOM情報管理が会社組織全体、さらには複数の組織を横断した取り組みとして求められてきます。そのためには、SBOM情報管理を組み込んだ脆弱性管理プロセスの策定が重要なポイントとなります。

日本でもSBOMツール導入の機運が高まる中、DXCテクノロジーには支援のご要望がよく寄せられており、先ほど挙げたポイントに対応する2つのサービスをご提供しています。

「SBOMツール選定支援サービス」では、特定ベンダーに影響されない独立した立場で、無償ツールも含む多様な選択肢の中からお客様の要件にあったSBOMツールを、選定から導入までご支援します。「どのツールを選べばよいか分からない」、「各部門で要望が異なり、標準化ができていない」、「使用しているSBOMツールを見直したい」といった課題に対応しています。

また、「SBOM管理プロセス検討支援サービス」は、SBOM管理における基準の策定からプロセス設計までをご支援するものです。「OSSの管理が部門ごとに行われており、ライセンス違反や脆弱性対策の基準やプロセスが統一されていない」、「OSSのライセンス違反、脆弱性の対策が管理できていない」、「OSPOを立ち上げたいが専門家の支援が必要」といった課題を解決に導きます。

SBOM導入への関心や課題をお持ちでしたら、DXCテクノロジーのセキュリティサービスチームへお気軽にお問い合わせください。