齊藤純哉氏(提供:タニウム)
タニウムは4月25日、「国内におけるSBOM(ソフトウェア部品表)に関する実態調査」の説明会を開催。アジア太平洋日本地域 Chief of Staff 兼 日本法人パートナービジネス・マーケティング最高責任者の齊藤純哉氏が調査結果とセキュリティ動向について説明した。
同調査は、大企業・官公庁・自治体のIT管理者、経営企画部門などDX時代の意思決定者を対象に実施。調査期間は2月20~28日で、有効回答数は651だった。
企業経営に直結するソフトウェアサプライチェーンに対する脅威が増大しており、各国がソフトウェア管理手法のSBOMに注目している。米国においては2021年に大統領令にてソフトウェアサプライチェーンセキュリティの強化が発表され、日本においても2023年に経済産業省から「SBOM導入に関する手引(案)」が公開された。同調査では、より具体的なガイドラインが見えてきた中で各組織の担当者がどのような対応をしているのかを調べたという。
SBOMの認知度は、「主な機能を含め、よく知っている」「名前は知っている」を合わせて75%に上った。また、米国の大統領令で政府系システムに対してSBOMの構築が義務付けられたことを「知っている」と回答したのは71%(n=486)。経産省が「サイバーフィジカルセキュリティ確保に向けたソフトウェア管理手法等検討タスクフォースの検討方向性」を公開していることを「知っている」と回答したのは66%(n=486)だった(表1)。
表1(提供:タニウム)
他方、「SBOMを導入・構築済み」の組織は全体でわずか14%だったが、「SBOM導入・構築作業中」は23%、「SBOM導入・構築を検討中」も同じく23%と導入に前向きな組織が大半を占めた。また、業種別で見ると「導入・構築済み」が最も多かったのは製造業で18%(n=163)だった(表2)。
表2(提供:タニウム)
SBOMの対象領域を「全社」と回答したのは56%(n=291)、「社内の特定の部署またはシステム」は43%(n=291)だった。対象を特定のシステムに絞っている組織では「DMZなどに配置する外部との連携用サーバー」がSBOM対象優先度の高いシステムとして挙げられ、次に「社内利用を前提とした業務系サーバー」や「ECサイトなどの商用サービス用サーバー」が挙がった。
また、SBOMの対象となるエンドポイントは「貸与タブレットまたはスマートフォンのソフトウェア」が57%(n=291)と最も多かったが、「社内システムで稼働しているソフトウェア」(54%)や「貸与クライアントPCのソフトウェア」(45%)、「BYOD(Bring Your Own Device:私物機器の利用)端末上のソフトウェア」(37%)、「顧客向けのシステムで稼働しているソフトウェア」(31%)、「クラウド上で動作しているソフトウェア」(31%)と幅広く分散していた。しかし、設問に挙げた全てを対象としている組織は全体の10%にとどまっているという。
この結果から、齊藤氏は「全社でSBOM管理を徹底していると答えた組織においても一部のエンドポイントしか管理できない組織が8~9割となり、SBOM管理の徹底は難しいことが明らかになった」と説明した。
SBOMの管理についても調査している。内部構造や依存関係が不明なソフトウェアがあった場合のSBOM管理として、「リバースエンジニアリングなどの解析手法を使用して調査・把握している」が65%(n=291)と最も多く、次に「開発・保守先のベンダーに問い合わせて把握している」(59%)が挙げられた。加えて、使用しているクラウドサービスや委託先などの社外のソフトウェアのSBOM管理については「サービス事業者や委託先などに問い合わせて把握している」が48%(n=291)と大半を占めていることから、SBOMの管理が属人的な状況であることが浮き彫りになった。
サプライチェーン企業に対するSBOM構築の運用状況の把握については、25%が「調査・把握済み」、30%が「構築運用の依頼中」、28%が「何も行っていない」と回答した。半数以上がサプライチェーン企業に対するSBOM管理について何らかの対応をしていることから、同社はSBOM管理の需要があることを確認できたとしている。