本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。
これまで、以下の記事でソフトウェアの脆弱性に伴う対応には多くの課題があることを述べてきた。
- セキュリティ管理者を悩ませる「脆弱性まつり」がもっと深刻になる理由
- セキュリティ管理者が脆弱性の影響をベンダーに聞かなければ判断できない裏事情
- 「ソフトウェアサプライチェーン」の部品の中の脆弱性にまつわる深刻なリスク
そして、前回その対策には、「ソフトウェア部品表」(SBOM:Software Bill Of Materials)が切り札となるかもしれないということを述べてきた。
今回は、このSBOMが注目を浴びるきっかけとなった、2021年5月12日に発行された米国大統領令「Executive Order on Improving the Nation’s Cybersecurity(国家のサイバーセキュリティの向上に関する大統領令)」とその周辺動向などについて述べていく。
米国大統領令とその主旨
Joe Biden米大統領が署名した大統領令には、国家のサイバーセキュリティ向上に関する内容が記載された。その内容はかなりの長文で多岐にわたる。また、それにもかかわらず、かなり突っ込んだ具体的な対策方法も盛り込んでおり、相当に意欲的な内容だと言える。そのため、大項目だけでも下図にあるように全部で11条もある。それだけ米国が現在、重大な危機に直面しているということを裏付けていると言えよう。
米国の「国家のサイバーセキュリティの向上に関する大統領令」
そのような脅威の認識を踏まえ、この大統領令は米国政府がサイバー攻撃に対して「デジタルインフラの透明性を高める対策」を求めることを大方針としている。そして、具体的な対策の代表例が第4章「ソフトウェア・サプライチェーン・セキュリティの強化」に記載されたSBOMだ。しかし、ここで言う「デジタルインフラの透明性の高さ」というのは、一体何なのだろうか。
もちろん、その言葉の意味をイメージすることは、それほど難しくはない。現状のデジタルインフラが不透明であり、ブラックボックスのようになっていると米国政府は認識している。そして、大統領令で指摘したようにデジタルインフラの透明性を高めなければ、政府として必要なITリソースを調達しないとまで言っているのだ。
そして、具体的なリスクとして表面的な管理からでは見えにくい「ソフトウェアサプライチェーンのリスク」に対して非常に大きな懸念を抱いている。米国政府の考えでは、そのリスクを低減させるために、デジタルインフラの透明性を高めることが鍵になるようだ。そして、その具体的な対策として、SBOMによる管理が挙げられたということなのだろう。
また、具体的な運用に関しては、米国国立標準技術研究所(NIST)がテストの種類の特定、テストの最低基準、セキュリティ基準、それらの運用のためのガイドラインを整備し、運用の仕組みを逐次作成することとなっている。さらに、具体的な期限(大統領令の公開から60日や270日)の記載もあり、それに沿ったSBOM運用の仕組みが2021年から2022年にかけて出来つつある。
そして、既に具体的なアウトプットもそれなりにそろい始めている。しかし、それでもSBOMで管理したい情報の理想と対応できる現状に食い違いが少なからずあるといい、これを埋める作業にNISTや米国家安全保障局(NCA)が心血を注いでいる真っ最中のようだ。これが、バズワードになりつつあるSBOMというものが注目されるに至った発端であり、現在における米国のSBOM事情のあらましだ。