米国では標準化。セキュリティの新たな考え方「SBOM」

　SBOMは、ソフトウェアに含まれるライブラリやモジュールといったコンポーネント（部品）、プログラムの名称やバージョン、著作権情報などをリスト化したものです。「SBOM」は「Software Bill Of Materials」の略したもので、直訳すると「ソフトウェア部品表」という意味です。

　たとえばソフトウェアの開発や更新の際、SBOMによってこれらのデータを専用のデータベースに記録することで、開発元やバージョン、ライセンスといった情報が簡単に確認できるようになります。

　ソフトウェアはさまざまな要素から構成されているため、SBOMによってその一つ一つを把握することは、セキュリティリスクの管理につながります。

　“ソフトウェア部品表”であるSBOMがセキュリティ対策として有効な手段である背景には、「OSS」の存在があります。

　OSSとは「オープンソフトウェア」の略で、ソースコードが公開された、誰でも自由に改変・再配布が可能な無償のソフトウェアのことです。OSSを利用することで、独自にプログラムを作るよりも、開発コストを抑えて効率よく作業できるメリットがあります。

　一方で、デメリットもあります。たとえばOSSに脆弱性があった場合、その脆弱性を突いたサイバー攻撃の被害を受ける可能性が高まります。

　たとえば2021年12月には、多くの企業で使われている「Apache Log4j（アパッチログフォージェイ）」というOSSにおいて、「Log4Shell」と呼ばれる重大な脆弱性が発見されました。しかし、そもそも自社製品に「Apache Log4j」が使われているかどうかがわからなければ、迅速な対応はできません。

　こうした場合もSBOMを作成していれば、OSSに脆弱性が見つかった場合、企業は自社で作成したSBOMを確認し、該当するOSSを使用しているか否かが速やかに確認でき、攻撃される前に修正することができます。そのため、SBOMによってOSSの情報を管理することが、セキュリティ対策として有効になるというわけです。

　SBOMによるセキュリティ対策は、すでに世界中で始まりつつあります。

　たとえばアメリカでは、2021年5月に策定されたサイバーセキュリティ強化のための大統領令にて、ソフトウェアサプライチェーンのセキュリティ強化のため、SBOMを作成することが指示されました。

　さらに、2023年5月に開かれた、日米豪印の政府首脳が集うる会合「Quad（クアッド）」でも、ソフトウェアセキュリティの共同原則において、SBOMを用いることが明記されました。

　日本でも、経済産業省が2023年7月に「ソフトウェア管理に向けたSBOM（Software Bill of Materials）の導入に関する手引」という資料を発表しました。経産省ではSBOMの導入が進むことで、企業はソフトウェアの適切な管理ができるようになり、開発生産性やサイバーセキュリティ能力の向上に繋がるとしています。

　こうした流れを受け、日本企業でもSBOMを導入する企業が徐々に増え始めています。

　たとえばある大手自動車メーカーは、自動車の車載ソフトウェアの管理にSBOMを活用しているといいます。さらに2023年8月には、大手通信会社や電機メーカーなどが、通信分野へのSBOM導入に向けた実証事業に着手することが報じられています。

　その一方で、現時点ではまだ導入していない企業の方が多いようです。タニウム合同会社2023年2月に行った、大企業のIT管理者に対するアンケート調査によると、現時点でSBOMを導入している企業はわずか14%だったといいます。

　とはいえ、SBOMという考え方自体は認知されているようです。同調査では「主要な機能を含めて良く知っている」は32%、「名前は知っている」は43%で、合計で75%がSBOMを認知しているという結果になりました。

　最近では、IT企業がSBOM導入のサポートを行うサービスも登場しています。こうしたサービスを利用すれば、すでに導入済みの自社製品やサービスでも、使用しているソフトウェアについて細かく診断を受けることが可能になります。

　サイバー攻撃の脅威から自社を守るのは簡単なことではありません。しかし、その攻撃がソフトウェアの脆弱性を狙ったものであれば、SBOMを利用することで早期に対応することが可能になります。SBOMという新たなセキュリティ対策があるということを、覚えていて損は無いでしょう。