セキュリティを高める「SBOM」、なぜ利用が進んでいるのか：約8割の組織が2022年に利用を予定

The Linux Foundationはソフトウェアの再利用に関する課題について調査したレポート「The State of Software Bill of Materials（SBOM） and Cybersecurity Readiness」（ソフトウェア部品表《SBOM》とサイバーセキュリティへの対応状況）を発表した。SBOMは最近のアプリケーションのおよそ90％がオープンソースソフトウェアを利用しているという状況に沿った解決策だ。

» 2022年02月03日 16時30分公開

[＠IT]

この記事は会員限定です。会員登録（無料）すると全てご覧いただけます。

　オープンソースを通じたイノベーション促進を目指す非営利組織The Linux Foundation（以下、Linux Foundation）は2022年2月1日（米国時間）、ソフトウェアの再利用に関する課題について調査したレポート「The State of Software Bill of Materials（SBOM） and Cybersecurity Readiness」（ソフトウェア部品表《SBOM》とサイバーセキュリティへの対応状況）を発表した。

　この調査レポートは、2021年に発令された米国大統領令「国家のサイバーセキュリティの向上」や、ホワイトハウスで最近開催された「Open Source Security Summit」を受けて作成、発表された。Open Source Security Foundation（OpenSSF）やSPDX、OpenChainとの共同発表だ。

ソフトウェアコンポーネントを選ぶ基準は？

　Linux Foundationの取り組みは、開発者がどのオープンソースソフトウェアを選択しているのかという基準とも関連している。

　調査からは、使用するオープンソースソフトウェアの優先順位を開発者が決める際、最も重視する属性がセキュリティで、次に重視する属性がライセンスコンプライアンスだと分かった。

自組織が使用するソフトウェアについて、最も頻繁に影響を与える優先項目　セキュリティ、ライセンス、費用という順番だった（提供：The Linux Foundation）

SBOMとは何なのか、なぜ必要なのか

　Linux Foundationによれば、最近のアプリケーションのおよそ90％がオープンソースソフトウェアを利用しているという。つまり、あるアプリケーションのセキュリティを高めるには、そのアプリケーションが利用しているソフトウェアコンポーネントについて、セキュリティ属性はもちろん、品質やライセンスを詳細に説明できなければならない。

　SBOMはソフトウェアコンポーネントとその内容を一意に識別する、正式かつ機械可読なメタデータだ。組織間で共有されるように設計されており、ソフトウェアサプライチェーン参加者から提供されるコンポーネントの透明性の確保に役立つ。

　アプリケーションのセキュリティに関心を持つ多くの組織が、SBOMをサイバーセキュリティ戦略の要としている。

　「SBOMはもはや選択肢ではない。今回の調査によると、2022年には78％の組織がSBOMを作成または利用する予定だ」と、Linux Foundationのエグゼクティブディレクター、ジム・ゼムリン氏は述べている。

　「新しいISO標準（ISO/IEC 5962:2021）の発行や大統領令の発令を受けて、SBOMの導入を加速させている企業は、ソフトウェア品質を向上させているだけでなく、『Apache Log4j』に関連するようなオープンソースの新しい脆弱（ぜいじゃく）性の公開に伴い、敵対的な攻撃を阻止する準備も進めている」（ゼムリン氏）

　レポートで分析されている主な調査結果は次の通り。

　回答者の82％がSBOMという言葉を知っており、76％がSBOMニーズに積極的に対応している。

　47％の組織が2021年にSBOMを作成または利用しており、78％の組織が2022年にSBOMの作成または利用を予定している。

SBOMの利用状況（提供：The Linux Foundation）

SBOMを作成するメリットとは？

　回答者がSBOMを作成するメリットとして挙げた上位3つは、次の通りだ。

（1）開発者にとってアプリケーションのコンポーネント間の依存関係が理解しやすくなる（51％）
（2）コンポーネントの脆弱性を監視しやすくなる（49％）
（3）ライセンスコンプライアンスが管理しやすくなる（44％）

SBOMの普及を助ける2つの要

　Linux Foundationの調査担当者は、業界のコンセンサスと政府の政策がSBOMの導入と実装を促進すると指摘している。

・回答者の62％がSBOMの作成や利用をDevOpsプラクティスに統合する方法について、業界のより良いコンセンサスを求めている
・58％がSBOMを自組織のリスク管理やコンプライアンスプロセスに統合することについてのコンセンサスを求めている
・53％がSBOMの進化や改善に関する業界のより良いコンセンサスを求めている
・世界の回答者の80％が、自組織はサイバーセキュリティの向上に向けた米国大統領令を知っていると答えた
・回答者の76％が、大統領令を受けて変更を検討している

　なお、今回のレポートは、2021年第3四半期にSBOMの準備や導入状況について、ITベンダーやサービスプロバイダー、エンドユーザー組織を対象とした調査の結果がまとめられている。この調査には世界各国から412の組織が回答した。

「ソフトウェアの情報共有の方法を標準化する必要がある」　Linux Foundationがツールやオンライン講座を提供
The Linux Foundationは、SPDXに準拠した新しい業界調査やオンライントレーニング、ツールを発表した。安全なソフトウェア開発に向けてソフトウェア部品表（SBOM）の使用を促進する。
「仮想パッチ」は通常のパッチと何が異なるのか
仮想パッチは脆弱性パッチの一種だが、脆弱性のあるソフトウェアへ直接パッチを当てるのではなく、ネットワークレベルで脆弱性に対応する。Compritech.comによれば、ネットワークやシステムの管理者は業務の一環として仮想パッチに取り組むべきだという。
Google、OSSパッケージの依存関係を可視化した実験的サービスを発表
Googleはオープンソースプロジェクトの依存関係などを可視化した実験的サービス「Open Source Insights」を提供開始した。「変更のペースが速く、ついていくのが難しい場合がある」「大きなプロジェクトが依存するソフトウェアパッケージが頻繁にアップデートされ、明確な現状把握ができない場合がある」といったOSSの課題を解消するのが目的だ。