「ソフトウェアサプライチェーン対応はデジタルビジネスの要件に」――SOMPOホールディングスが取り組む理由：「ツールを活用しなければSBOMの管理は不可能」

国内損保事業、海外保険事業、国内生保事業、介護、シニア事業を展開するSOMPOホールディングスでは、サイバーセキュリティの取り組みとして「デジタルサプライチェーン管理」と「ソフトウェアサプライチェーン管理」を開始しているという。それぞれの取り組みと、脆弱性管理クラウド「yamory（ヤモリー）」の活用について、SOMPOホールディングスのセキュリティキーマンに話を聞いた。

[PR／＠IT]

PR

「安心・安全・健康のテーマパーク」を実現する上で重要になるサイバーセキュリティ

　「“安心・安全・健康のテーマパーク”により、あらゆる人が自分らしい人生を健康で豊かに楽しむことのできる社会を実現する」をパーパスに掲げ、中核事業として、国内損保事業、海外保険事業、国内生保事業、介護、シニア事業を展開するSOMPOホールディングス。デジタル領域でもさまざまな取り組みを進めていることでも知られ、リアルデータプラットフォーム（RDP）を基軸としたソリューションの創出、ビジネスモデルの開発を進めている。

　リアルデータとは、保険事業、介護事業のトッププレーヤーとして蓄積してきた多種多様なデータのことだ。2000万人の保険顧客、10万人の介護関連データ、7万人の人材に関するデータを、世界有数のデータ解析技術を有する企業などとのパートナーシップの下、AI（人工知能）、データ解析技術を使って活用する体制を整えている。具体的には、「事故をなくす」「災害をなくす」「病をなくす」に代表される、保険が必要ないほどの安心・安全・健康な世界を創っていくことを目指している。

　リアルデータを活用した新サービスとして2023年4月末には「egaku」をスタートさせた。egakuは、介護現場などで収集されるリアルデータを起点とした介護業界の社会課題解決につながるサービスを提供するものだ。各種介護システム導入を支援する「デジタル化支援サービス」、ケアプランとサービス実績の乖離（かいり）を可視化し援助スケジュールの最適化をサポートする「データ活用サービス」を展開している。

SOMPOホールディングス IT企画部 セキュリティエバンジェリスト 小中俊典氏

　こうしたデジタル領域を含めた「安心・安全・健康のテーマパーク」を実現する上で重要になるのがセキュリティだ。SOMPOグループが取り扱うデータは個人情報やプライバシー情報など強固なセキュリティ対策が求められることは当然として、社内システムの監視や内部統制、コンプライアンスの徹底は事業推進において極めて重要な取り組みとなる。

　SOMPOホールディングスの小中俊典氏（IT企画部 セキュリティエバンジェリスト）はこう話す。

　「近年では、介護領域を中心にITの取り組みが盛んです。今後は、デジタル領域やソフトウェア領域でのサプライチェーン管理が求められると考え、その取り組みを先読みし、IT部門として強化しているところです」（小中氏）

デジタルサプライチェーン管理とソフトウェアサプライチェーン管理に注力

　SOMPOホールディングスでは、サイバーセキュリティの取り組みとして、サイバーエクスポージャー管理やサイバーハイジーン（公衆衛生）を推進してきた。これらは、IT資産の管理や外部公開設定の管理などを通してサイバーリスクを把握し、脅威に継続的に対処できるようにするものだ。

　「アタックサーフェス管理（External Attack Surface Management）や、クラウドセキュリティ態勢管理（Cloud Security Posture Management）など、デジタル空間において安全にデータ活用を進めるための独自のガードレール型セキュリティの取り組みを進めてきました。また、OSINT（Open Source Intelligence）ベースのデジタル空間におけるサイバーパトロールの強化にも取り組んできました。こうした取り組みによりサイバーセキュリティを一定の水準で構築できたことを受けて、新たに取り組みをスタートさせたのが『デジタルサプライチェーン管理』と『ソフトウェアサプライチェーン管理』です」（小中氏）

　デジタルサプライチェーン管理とは、企業間でのサプライチェーンがデジタルで実施される中で、取引先企業などとのサプライチェーンの状況の可視化や共有をスムーズにできるようにする取り組みだ。サプライチェーン攻撃に代表されるように、サプライチェーンを狙ったサイバー攻撃は近年増加しており、サプライチェーンの状況を会社内だけでなく、取引先企業との間で可視化し共有していくことは、サイバーセキュリティとして必須になりつつある。

　「経済産業省が公開した『サイバーセキュリティ経営ガイドライン Ver3.0』でも、サプライチェーン全体のセキュリティ対策の推進を強く訴えています。また、米国では2021年にバイデン大統領による大統領令（EO #14028）が発令され、SBOMを利用したサイバーセキュリティの取り組みが本格化しました。NIST（米国国立標準技術研究所）のガイドライン（SP 800-161r1）でも、サプライチェーンセキュリティを詳細にガイドしています。SOMPOホールディングスでは、取引先とデジタル上でつながりのある資産を自社の外部アセットとし、外部の脅威は内部に関係する脅威と捉え、管理体制を強化しています」（小中氏）

　もう一方の、ソフトウェアサプライチェーン管理とは、ソフトウェアを構成するさまざまなコンポーネントを管理するものだ。近年のソフトウェアは複雑化し、サービスの中に脆弱（ぜいじゃく）性などの脅威が紛れ込むリスクが高まっている。デジタルサプライチェーン管理だけでは、ソフトウェアの脅威まで管理できないため、ソフトウェアサプライチェーンという観点でも脆弱性管理を推進することが重要だとする。

SOMPOホールディングスにおけるサイバーセキュリティの取り組み（提供：SOMPOホールディングス）

ソフトウェアサプライチェーン管理を推進するために脆弱性管理クラウド「yamory」を採用

　ソフトウェアサプライチェーン管理を進める前提として、SOMPOホールディングスではこれまでSBOM（Software Bill Of Materials：ソフトウェア部品表）の取り組みを進めてきた。SBOMは、製造業の部品表（BOM）や流通小売業の構成表（BOM）のソフトウェア版ともいうべきものだ。SBOMは、ソフトウェアがどのようなコンポーネントで構成されているかを把握するためのもので、コンポーネントに脆弱性が見つかった場合に素早く脅威に対抗できるようになる。SOMPOホールディングスの片岡 創氏（IT企画部 サイバーセキュリティグループ）はこう話す。

SOMPOホールディングス IT企画部 サイバーセキュリティグループ 課長代理 片岡 創氏

　「自社のみでSBOMを管理するだけでは不十分です。ソフトウェアを開発するベンダーや開発パートナーなどとSBOMを共有し、同じプラットフォーム上で管理していくことが求められます。SOMPOホールディングスは、サービスを提供する最終サプライヤーであり、パートナーとともにサービスを開発する初期、中間サプライヤーという立場でもあります。SBOMを受け入れたり、SBOMを納品できたりする点はもちろん、SBOM、脆弱性、ライセンスなどを共通的かつ共有可能な形で管理する環境づくりが不可欠です」（片岡氏）

　先述したように、ソフトウェアサプライチェーンの構築は、すでに米国では官民で取り組みがスタートしている。米CISA（サイバーセキュリティ・インフラセキュリティ庁）、米NSA（国家安全保障局）、ODNI（国家情報局）がソフトウェアサプライチェーンの安全確保に関するガイダンスを公開している。また、CISAは「Secure by Design」の原則をソフトウェアメーカーが導入するための新しいガイダンスを発表し、設計段階からセキュリティを確保するというこの原則は、後でパッチを適用するのではなく、製品ライフサイクルの初期段階からソフトウェアの透明性と安全性を高めるよう求めている。

　さらに、SBOMについてはOpen Source Security Foundationによるサプライチェーンセキュリティ標準プロジェクト（SLSA v1.0）が推進されている。日本においても、経済産業省が「ソフトウェア管理に向けたSBOM（Software Bill of Materials）の導入に関する手引（案）」を公表するなど、SBOMの必須化、標準化の動きは加速している。

　そうした中でSOMPOホールディングスは、Visionalグループが運営する脆弱性管理クラウド「yamory」を導入した。

　「デジタルサプライチェーン管理におけるアセットは全体で数万件を超えます。ソフトウェアサプライチェーン管理という観点では、1つのサービスで数万件という規模感です。ツールを活用しなければSBOMの管理も不可能です。SOMPOホールディングスでは、インフラの管理からアプリケーションの開発まで幅広く手掛けているため、アプリからインフラ面まで一貫して管理できることが重要でした。yamoryは、アプリとインフラの両方に対応した製品であり、多岐にわたるソフトウェアを単一の管理画面で効率よく管理できるプラットフォームである点を高く評価しました」（片岡氏）

SBOMを管理しながらインフラとアプリの両方を統合管理する仕組みを構築

　yamoryの管理画面では、SBOMを管理することはもちろん、ライブラリやフレームワークなど、依存関係を含むソフトウェア構成情報を管理できる。

　「例えば『Apache Log4j』のようなライブラリが、どのソフトウェアでどう使われているかを探すのは容易ではありません。yamoryを利用すると、利用しているOSS（オープンソースソフトウェア）の中で、Apache Log4jを利用しているソフトウェアを簡単に見つけ出すことができます。アプリケーションだけでなく、インフラについても、利用しているゲートウェイ機器やファイアウォール機器などのIT資産を登録しておくと、OSに含まれる脆弱性を自動でチェックしてくれます。脆弱性管理プラットフォームとして複数のグループ会社間で利用することもできます。アプリ、インフラ、SBOMといったソフトウェアサプライチェーン管理の中心になるプラットフォームが、yamoryだったのです」（片岡氏）

　従来、SOMPOグループにおけるソフトウェアの管理は、グループ内の企業が独自に行う体制だった。取り組み状況には差があり、手動でIT資産、ソフトウェアの脆弱性管理を進めているケースもあれば、SBOMを中心にある程度自動化しているケースもあった。

　「SOMPOグループとしてセキュリティレベルを向上させていくためには、グループ会社の取り組みを共通化し、取り組みの差がサイバーセキュリティ上のリスクにならないようにすることも重要でした。グループ各社が独自にIT資産やソフトウェア情報管理をしていると、製品名、ソフトウェア名の表記揺れが発生し、脆弱性データベースとの突合が難しいという課題がありました。yamoryでは、独自の脆弱性データベースおよび照合方法により、表記揺れにも対応が可能です。脆弱性を検知する精度も高く、コストパフォーマンスが高い点を評価しました」（片岡氏）

　SOMPOホールディングスのIT企画部でyamoryの導入を完了し、グループ会社で先行している損害保険ジャパンのSBOM対応についても標準フォーマットを利用した取り込みとSBOM管理可能なことを確認するためのPoC（概念検証）も実施済みだ。今後は、各部門、グループ会社、開発業者などソフトウェアにかかわるステークホルダーが作成したSBOMを共有し、管理する方針だ。

　「グローバルでのデジタルビジネス推進において、デジタルサプライチェーンやソフトウェアサプライチェーンはより重要になっていくと考えていますし、ソフトウェアサプライチェーンにおいてはSecure by Designに基づいた透明性がサービスに求められより重要になりますので、SBOM対応、脆弱性対応は不可欠になっていくでしょう。ツールを活用すれば、サプライチェーンにおける透明性を確保し、脆弱性を統合管理でき、煩雑さをなくし、属人化のリスクも低減できます。今後は、グループ内の各社やビジネスパートナー、当局などから求められたときにSBOMを提供したり、逆にSBOMを受け入れたりできるよう、標準フォーマットを用いた共有化の仕組みを強化していきたいと考えています」（小中氏）