2025年4月1日利用分より、フレッツ 光ネクスト(一部サービスタイプ)の月額利用料を改定します。詳細はこちら別ウィンドウで開きますをご確認ください。

2025年4月1日利用分より、フレッツ 光ネクスト(一部サービスタイプ)の月額利用料を改定します。詳細はこちら別ウィンドウで開きますをご確認ください。

2023.09.08 (Fri)

理想的な会社の在り方とは(第34回)

米国では標準化。セキュリティの新たな考え方「SBOM」

posted by Playce

 サイバー攻撃では、とかくソフトウェアの脆弱性が狙われがちです。しかし、「SBOM(エスボム)」という対策を実施することで、その攻撃に対し、素早い対策を取ることが可能になります。「SBOM」とは、一体どのようなセキュリティ対策なのでしょうか?解説します。

SBOMは「ソフトウェアの部品表」

 SBOMは、ソフトウェアに含まれるライブラリやモジュールといったコンポーネント(部品)、プログラムの名称やバージョン、著作権情報などをリスト化したものです。「SBOM」は「Software Bill Of Materials」の略したもので、直訳すると「ソフトウェア部品表」という意味です。

 たとえばソフトウェアの開発や更新の際、SBOMによってこれらのデータを専用のデータベースに記録することで、開発元やバージョン、ライセンスといった情報が簡単に確認できるようになります。

 ソフトウェアはさまざまな要素から構成されているため、SBOMによってその一つ一つを把握することは、セキュリティリスクの管理につながります。

SBOM台頭の背景に「OSS」あり

 “ソフトウェア部品表”であるSBOMがセキュリティ対策として有効な手段である背景には、「OSS」の存在があります。

 OSSとは「オープンソフトウェア」の略で、ソースコードが公開された、誰でも自由に改変・再配布が可能な無償のソフトウェアのことです。OSSを利用することで、独自にプログラムを作るよりも、開発コストを抑えて効率よく作業できるメリットがあります。

 一方で、デメリットもあります。たとえばOSSに脆弱性があった場合、その脆弱性を突いたサイバー攻撃の被害を受ける可能性が高まります。

 たとえば2021年12月には、多くの企業で使われている「Apache Log4j(アパッチログフォージェイ)」というOSSにおいて、「Log4Shell」と呼ばれる重大な脆弱性が発見されました。しかし、そもそも自社製品に「Apache Log4j」が使われているかどうかがわからなければ、迅速な対応はできません。

 こうした場合もSBOMを作成していれば、OSSに脆弱性が見つかった場合、企業は自社で作成したSBOMを確認し、該当するOSSを使用しているか否かが速やかに確認でき、攻撃される前に修正することができます。そのため、SBOMによってOSSの情報を管理することが、セキュリティ対策として有効になるというわけです。

世界でもSBOMの価値が認められつつある

 SBOMによるセキュリティ対策は、すでに世界中で始まりつつあります。

 たとえばアメリカでは、2021年5月に策定されたサイバーセキュリティ強化のための大統領令にて、ソフトウェアサプライチェーンのセキュリティ強化のため、SBOMを作成することが指示されました。

 さらに、2023年5月に開かれた、日米豪印の政府首脳が集うる会合「Quad(クアッド)」でも、ソフトウェアセキュリティの共同原則において、SBOMを用いることが明記されました。

 日本でも、経済産業省が2023年7月に「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引」という資料を発表しました。経産省ではSBOMの導入が進むことで、企業はソフトウェアの適切な管理ができるようになり、開発生産性やサイバーセキュリティ能力の向上に繋がるとしています。

SBOM導入をサポートするサービスもある

 こうした流れを受け、日本企業でもSBOMを導入する企業が徐々に増え始めています。

 たとえばある大手自動車メーカーは、自動車の車載ソフトウェアの管理にSBOMを活用しているといいます。さらに2023年8月には、大手通信会社や電機メーカーなどが、通信分野へのSBOM導入に向けた実証事業に着手することが報じられています。

 その一方で、現時点ではまだ導入していない企業の方が多いようです。タニウム合同会社2023年2月に行った、大企業のIT管理者に対するアンケート調査によると、現時点でSBOMを導入している企業はわずか14%だったといいます。

 とはいえ、SBOMという考え方自体は認知されているようです。同調査では「主要な機能を含めて良く知っている」は32%、「名前は知っている」は43%で、合計で75%がSBOMを認知しているという結果になりました。

 最近では、IT企業がSBOM導入のサポートを行うサービスも登場しています。こうしたサービスを利用すれば、すでに導入済みの自社製品やサービスでも、使用しているソフトウェアについて細かく診断を受けることが可能になります。

 サイバー攻撃の脅威から自社を守るのは簡単なことではありません。しかし、その攻撃がソフトウェアの脆弱性を狙ったものであれば、SBOMを利用することで早期に対応することが可能になります。SBOMという新たなセキュリティ対策があるということを、覚えていて損は無いでしょう。

連載記事一覧

メルマガ登録


NTT EAST DX SOLUTION


ミライeまち.com


「ビジネスの最適解」をお届けします 無料ダウンロード資料


イベント・セミナー情報

ページトップへ

ページ上部へ戻る