英国政府機関がSBOMのメリットと使用上の注意点を解説 そもそも何の役に立つのか:レガシーシステムでは難しい?
英国の国家サイバーセキュリティセンターは、ソフトウェア部品表(SBOM)の使用方法や、SBOMを使用する際の注意点などについて説明するブログエントリを公開した。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
英国の国家サイバーセキュリティセンター(NCSC)は2024年9月11日(英国時間)、ソフトウェア部品表(SBOM)の使用方法や、SBOMのできないことなどについて説明するブログエントリを公開した。NCSCは以下のように説明している。
SBOMはどのように役立つのか?
SBOM作成の価値は、ソフトウェア開発プロセスとその実践、スタッフの経験、組織のリスク選好度など、多くの要因に依存する。最も重要なことは、SBOMが存在するだけで、サプライチェーンの安全性が保証されるわけではなく、全てのサプライチェーンリスクを解決できることにはならない。
SBOMは、アプリケーションの開発と提供に関わるコンポーネント部品と、ソフトウェアの依存関係をリストアップするために標準化された方法だ。SBOMを作成できないことは危険だが、だからといってSBOMそれ自体のみでサイバーセキュリティツールになるものではない。しかし、SBOMを脆弱(ぜいじゃく)性スキャナーのようなツールと組み合わせることで、分析対象のソフトウェアに存在する可能性のある脆弱性を特定できる。この可視性により、開発者とベンダーは、自分たちのソフトウェアに影響を及ぼす可能性のあるものを認識し、リスクを軽減するために必要な措置を取ることができる。
SBOMには暗号署名を施す必要があり、その際関連ソフトウェアの署名に使用したものと同じ証明書を使用するのが理想的だ。署名されたSBOMは、SBOMが変更されておらず、それが添付されているソフトウェアのものであるという証明になる。署名されていないSBOMは、ソフトウェアがひそかに変更された可能性などがあり、信頼性は低い。
ソフトウェアのSBOMを生成するプロセスを確立し、ソフトウェアが構築されるたびに新しいSBOMが生成されるようにすべきだ。従って、ソフトウェアの新しいバージョンが更新されるたびに最新バージョンが生成される動的SBOMを持つことが望ましい。一方で、不正確なSBOMは誤った情報を提供し、リスクにさらされる危険性が高くなってしまう。
開発者が考慮すべきこと
第三者がソフトウェアのSBOMを作成する場合、その第三者によるSBOMの作成、維持を信頼しなければならない。信頼できないSBOMはほとんど役に立たない。つまり、SBOMは第三者が作成するよりも、ソフトウェアの開発者が作成すべきだ。同様に、ベンダーは自分たちが何を販売、配布しているのかを知るべきだ。
SBOMの用途や役に立つかどうかについて多くの議論がある一方で、SBOMがいつ、どのように生成されるかを考慮することも重要だ。ソフトウェア開発の初期段階からSBOM作成を取り入れ、ソフトウェア全体のライフサイクルにわたってSBOMの活用を奨励することが理想的だ。開発サイクルの初期であればあるほど、正確で完全なSBOMの生成が容易になる。
2021年の米国大統領令以来、SBOM作成が可能なツールの数が増えている。開発者にとって重要な進展は、ソフトウェアをビルドする際にSBOMを生成できるツールが開発されたことかもしれない。これにより、パッケージ化されたソフトウェアと同様にSBOMをアップデートできる。
エンドユーザーにとってのSBOM
ベンダーがSBOMを作成した場合、ソフトウェアの利用者は、その製品をより信頼するかもしれない。「ベンダーまたは開発者がその製品の構成要素を考慮している」と思うかもしれないからだ。しかし、ソフトウェアのエンドユーザーにとってSBOMの有用性は、サイバーリスクに対する彼ら自身の理解と彼らの技術的専門知識に依存する。従って、エンドユーザーを安心させることに関する限り、SBOMを作成し維持するために組織が費やす時間と労力は、他のサイバーセキュリティ対策に費やした方がいい可能性が高い。
SBOMの使用に関してさらに考慮すべきこと
ソフトウェアに関する情報源として、SBOMは攻撃者にとって有用な可能性があり、SBOM自体を安全に保管しなければならない。従って、SBOM自体の保護という組織が考慮しなければならないセキュリティ上の負担が生じることになる。
レガシーシステムを持ち、SBOMの導入を検討している企業があるかもしれないが、レガシーソフトウェアのSBOM生成は、コードがサポートされなくなった場合には難しいかもしれない。また、複雑なシステムのために多くのSBOMを維持することは、特に過去にさかのぼってSBOMを作成する場合に、リソースを大量に消費する可能性がある。
関連記事
ソフトウェアを「作る人」と「使う人」の契約に盛り込むべき項目とは 経済産業省が資料公開
経済産業省は「ソフトウェア管理に向けたSBOMの導入に関する手引ver2.0」を公開した。2023年7月に策定した同手引書を改訂したもので、ソフトウェアの脆弱性管理にSBOMを活用する具体的手順などを新たに追加した。
「CPython」がSBOMに対応 PSFがSPDX形式のSBOMドキュメントを公開
Python Software Foundationは、Pythonのレファレンス実装である「CPython」において、SPDXフォーマットのSBOMドキュメントを公開した。
「Protobom」でSBOMの作成、異なるフォーマットへの変換が容易に? OpenSSFが発表
OpenSSFは、CISAやDHS S&Tと共同で、オープンソースのサプライチェーンツール「Protobom」を発表した。SBOMデータを生成したり、異なるフォーマット間でSBOMデータを変換したりできる。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。