SBOMとサイバー防衛の取り組み
今年は世界的にインフレの波が襲いかかってくる気配が濃厚です。
多くの企業でコストカットが叫ばれるようになろうかと思いますが、業務の自動化はその一丁目一番地になろうかと思います。
弊社のような自動化ツールのベンダーとしましては、ぜひとも皆様のご期待に添える製品・サービスを世に送り出したい所存です。
さて新春早々、なかなかにインパクトがありそうなニュースが飛び込んできました。
ソフトウエアに安全基準 日米、サイバー防衛で覚書へ
政府調達でインフラなどの対策強化
https://www.nikkei.com/article/DGXZQOUA0314J0T00C23A1000000/
要は日米の戦略改定でサイバー防衛で連携する事になり、その具体策の一つとしてシステム調達の際の安全基準を作りましょうということで、SBOMの導入を検討するという内容です。
SBOM(エスボム:Software Bill Of Materials)とは、端的に言えばソフトウェアの部品表であり、昨年、セキュリティー界隈で話題にあがりました。
ソフトウェアは独自のコードのみでなく、外部のライブラリやパッケージ等を組み合わせて構成されることが多くなっています。それらの中に脆弱性が発見された場合に、影響範囲の評価を容易にする必要が出てきました。
記憶に新しいところでは、2021年の暮れにログ出力のためのライブラリ Log4jに脆弱性が発見されました。
これを使用しているサービスは数限りなくありましたが、しらみつぶしに調査する必要があり、対応までに時間がかかってしまうという問題がありました。
SBOMが整備されていれば、どのサービスで利用されているかは一目瞭然となります。
内容やフォーマットに関しては、幾つかの形式が提案されており、それらの作成を支援するツールも提供されはじめています。
また導入に際しては、経産省のタスクフォースなどでも検討されています。
それらの資料は、経緯や概要をつかむにはちょうど良いでしょう。
https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_seido/wg_bunyaodan/software/pdf/007_03_00.pdf
従来、ソフトウェアやSaaSなどの利用の際に、セキュリティー・チェックシートなどを取引先に要求する、または、要求されることがありますが、セキュリティー関連の事故が増えるなか、今後、システムやソフトウェアの調達の際にSBOMが要求されるシーンも増えてくるのではと思います。