日本でも一部では実運用段階に入ったSBOM、今後の普及に向けた課題は何かを話し合った:OSSのサプライチェーン管理、取るべきアクションとは(4)
SBOMは、日本でも一部の企業では既に取り組みが進んでいる。では、一般的な普及に向けてはどのような課題があるのか。自動車業界、半導体/組み込み業界、システムインテグレーターと、異なる立場の関係者が話し合った。
オープンソースソフトウェア(OSS)のサプライチェーン管理における重要なトピックとして、前回解説した「SBOM(Software Bill of Materials:ソフトウェア構成表)」がある。2021年のサイバーセキュリティに関する米大統領令で取り上げられたことなどから、急速に注目が集まっている。
ただし、SBOMとは「サイバーセキュリティだけ」のための「新しい」仕組みだというのは誤解だ。
ソフトウェア納品の際に、利用しているOSSの情報を一定のフォーマットで提示するSBOMの仕組みは、以前から提案されてきた。目的は、セキュリティ脆弱(ぜいじゃく)性管理だけでなく、バグ対応やライセンスコンプライアンスを含めた包括的なサプライチェーン管理にある。
では、SBOMは現在、どのように使われているのか。さらなる普及に向けてはどのような課題があるのか。自動車業界、半導体/組み込み業界、システムインテグレーターと、異なる立場の関係者が話し合った。
参加者:
伊藤義行氏
ルネサスエレクトロニクス オートモーティブソリューション事業本部 車載デジタルマーケティング統括部 プリンシパルスペシャリスト
田中美有氏
トヨタ自動車 知的財産部 知財企画室 ガバナンス推進グループ
渡邊 歩氏
日立ソリューションズ デジタルシフト開発支援本部 プロセス改善ソリューション部 部長 シニアOSSスペシャリスト
SBOMへの関心は、日本でも急速に高まっている
渡邊氏 まずはそれぞれの自己紹介から。私は日立ソリューションズで、お客さま向けに、OSSコンプライアンスの社内プロセスや体制作りを支援するコンサルテイングや、OSS管理ツールの販売などに携わっています。2022年4月からは、社内向けに、当社で開発するソフトウェアのOSSコンプライアンスを推進する事務局にも所属しています。
伊藤氏 ルネサスエレクトロニクスで自動車関係の組み込みソフトウェア開発をしています。また、Linux Foundationをはじめとするコミュニティーに対応する活動に携わっています。直近ではSPDX(SBOMのフォーマットの一つ)関係にプルリクエストを出すなどしています。
田中氏 トヨタ自動車で知財企画室 ガバナンス推進グループに所属しています。2020年1月にOSSチームに入り、OSSコンプライアンス業務に携わっています。OpenChainの活動にも参加しています。社内では開発エンジニアへのOSSの教育や社内体制の構築に関わっています。
渡邊氏 SBOMの重要性について、それぞれの企業の取り組みを踏まえて、ご意見をいただけますか。
伊藤氏 個人的には、SBOMは今後OSSだけでなく、プロプライエタリなソフトウェアやADAS(自動運転支援システム)関係の組み込みソフトウェア全般に広がっていくと見ています。ただ現状は、お客さまから要望を受けたときにのみSBOMを提供しています。
最近では、例えばYocto Projectのように、SBOMを自動生成できるOSSのコンパイル環境があります。こうしたツールでコンパイルし確認したことを、納品時に伝えておきます。すると、SBOMについて問い合わせを受けた場合に、「ソフトウェア提供時にお知らせしたOSSのツールチェーンでSBOMを生成可能ですので、ご自身でご確認ください」と答えられます。こうした対応をすることは多いです。ただ、OSSコミュニティーによる想定が不完全となり得る、実商用環境ならではの課題に向けた備えなど、今後に向けて関係者への働きかけを強めているところです。
田中氏 自動車業界全体が「100年に一度の大変革期」と言われる中、ソフトウェア開発は大規模化、複雑化しています。さまざまなサプライヤー、ベンダーと協力して開発を進めていて、「サプライチェーンのどこで、どんなソフトウェアをどう使っているのか」への関心は急速に高まっています。不具合や脆弱性の早期発見を主な目的に、SBOMを活用する動きも進んでいます。お客さまへの情報公開の観点でも、SBOMの重要性は高まっています。
米国では対応必至、トヨタも実運用を始めている
渡邊氏 半導体業界や組み込み業界では、地域や事業ごとに取り組みに温度差があるという状況ですか。
伊藤氏 米国では対応が迫られていますが、国内では取り組みが一部始まったところですね。欧州はルールが整備されればすぐに取りかかるといった印象です。一方、新興国では「SBOM? 何それ」という状況。かなり温度差がありますね。
渡邊氏 自動車業界はどうでしょうか。SBOMが広まったきっかけはありますか。
田中氏 当社では、OSS情報をもらうときに「SPDX Lite」を使っています。情報をやり取りする際には2つのレベルで取り組みを進めています。
Copyright © ITmedia, Inc. All Rights Reserved.