企業セキュリティの歩き方

米国政府が「SBOM」による管理を大統領令に盛り込んだ意味

武田一城

2022-10-03 06:00

 本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。

 これまで、以下の記事でソフトウェアの脆弱性に伴う対応には多くの課題があることを述べてきた。

 そして、前回その対策には、「ソフトウェア部品表」(SBOM:Software Bill Of Materials)が切り札となるかもしれないということを述べてきた

 今回は、このSBOMが注目を浴びるきっかけとなった、2021年5月12日に発行された米国大統領令「Executive Order on Improving the Nation’s Cybersecurity(国家のサイバーセキュリティの向上に関する大統領令)」とその周辺動向などについて述べていく。

米国大統領令とその主旨

 Joe Biden米大統領が署名した大統領令には、国家のサイバーセキュリティ向上に関する内容が記載された。その内容はかなりの長文で多岐にわたる。また、それにもかかわらず、かなり突っ込んだ具体的な対策方法も盛り込んでおり、相当に意欲的な内容だと言える。そのため、大項目だけでも下図にあるように全部で11条もある。それだけ米国が現在、重大な危機に直面しているということを裏付けていると言えよう。

米国の「国家のサイバーセキュリティの向上に関する大統領令」
米国の「国家のサイバーセキュリティの向上に関する大統領令」

 そのような脅威の認識を踏まえ、この大統領令は米国政府がサイバー攻撃に対して「デジタルインフラの透明性を高める対策」を求めることを大方針としている。そして、具体的な対策の代表例が第4章「ソフトウェア・サプライチェーン・セキュリティの強化」に記載されたSBOMだ。しかし、ここで言う「デジタルインフラの透明性の高さ」というのは、一体何なのだろうか。

 もちろん、その言葉の意味をイメージすることは、それほど難しくはない。現状のデジタルインフラが不透明であり、ブラックボックスのようになっていると米国政府は認識している。そして、大統領令で指摘したようにデジタルインフラの透明性を高めなければ、政府として必要なITリソースを調達しないとまで言っているのだ。

 そして、具体的なリスクとして表面的な管理からでは見えにくい「ソフトウェアサプライチェーンのリスク」に対して非常に大きな懸念を抱いている。米国政府の考えでは、そのリスクを低減させるために、デジタルインフラの透明性を高めることが鍵になるようだ。そして、その具体的な対策として、SBOMによる管理が挙げられたということなのだろう。

 また、具体的な運用に関しては、米国国立標準技術研究所(NIST)がテストの種類の特定、テストの最低基準、セキュリティ基準、それらの運用のためのガイドラインを整備し、運用の仕組みを逐次作成することとなっている。さらに、具体的な期限(大統領令の公開から60日や270日)の記載もあり、それに沿ったSBOM運用の仕組みが2021年から2022年にかけて出来つつある。

 そして、既に具体的なアウトプットもそれなりにそろい始めている。しかし、それでもSBOMで管理したい情報の理想と対応できる現状に食い違いが少なからずあるといい、これを埋める作業にNISTや米国家安全保障局(NCA)が心血を注いでいる真っ最中のようだ。これが、バズワードになりつつあるSBOMというものが注目されるに至った発端であり、現在における米国のSBOM事情のあらましだ。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]