{{item.title}}
{{item.text}}
{{item.title}}
{{item.text}}
2022-05-12
これまでの連載第1回~4回では、ソフトウェア部品表(SBOM:Software Bill of Material、「エスボム」と発音)の概要や効果、製品セキュリティの文脈におけるその活用方法を紹介してきました。第5回では、少し検討範囲を広げて、企業におけるソフトウェア資産をどのように管理すべきかを考察します。
デジタル化が進んだ今日の企業は、従来のようにソフトウェアを購入して使用するという「利用者」の立場だけでなく、自社の製品やサービスを通じてソフトウェアを市場に提供するという「提供者」の立場を持ち合わせています。
本連載のテーマであるSBOMは、その概念の由来が製造業であることからも、特に「提供者」としての立場でソフトウェア管理を行う際に適したソリューションであると言えます。一方で、「利用者」の立場においては、ISMS(情報セキュリティマネジメントシステム)やNIST CSF(サイバーセキュリティフレームワーク)等のフレームワークでも要求されている構成管理(資産管理、変更管理、脆弱性管理などの付帯機能も含む)がSBOMに相当するソフトウェア管理として位置付けられます。
いずれも、自社が利用するソフトウェア情報を管理し、当該ソフトウェアの利活用においてセキュリティ上のリスクないかを確認するという役割が求められています。
ではまず、企業におけるソフトウェア管理をどの部門で担うかを考えてみましょう。
ソフトウェア管理業務のゴールは、ソフトウェアの情報を収集することではなく、収集した情報をもとにリスクがないかを判断することです。誰もができうる業務ではないため、専門スキルを有する部門の関与なしでは、目的を果たすことはできないでしょう。多くの企業では、CSIRTやPSIRTなどのセキュリティ専門組織を設置しているため、これらの組織にソフトウェア管理を任せるのが自然です。
一方で、CSIRTやPSIRTなどの1つの組織・部門が、自社に関わる全てのソフトウェア情報を漏れなく収集することは困難と考えられますので、情報を集めるという役割と、活用するという役割を分けてガバナンスを構築する必要があります。
ソフトウェア管理は、ソフトウェアが活用される製品やサービスに違いがあっても、情報を収集して管理をしていくという業務には共通性が見られますので、製品やサービス単位で管理機能を持たせるよりも、上図のように組織を横断して全体で管理していくガバナンスが望ましいと言えるでしょう。
次に、企業におけるソフトウェア資産に対して、SBOM、構成管理のどちらの管理方法を選択すべきかを考えてみましょう。
SBOMは、製品やアプリケーションを構成するOSS(オープンソースソフトウェア)などの構成要素やその依存関係を管理していきます。この管理によって、ソフトウェアのサプライチェーンが把握でき、脆弱性の早期対処やライセンス準拠の確認などの製品・アプリケーション自体のリスクが低減できます。
では、全てのソフトウェア管理をSBOMで実施することが最善でしょうか。答えはNoです。
「利用者」の立場で製品やソフトウェアを購入した場合、その安全性は開発元によって保守されます。製品の保守を購入する限り、開発元で脆弱性の検査が行われ、安全なソフトウェアが提供されます。つまり、SBOMによるソフトウェア管理を行うのは開発元であり、利用者は購入したソフトウェアを開発元と同等レベルで管理するのは過剰と言えます。
「利用者」となる場合のソフトウェア管理は、構成管理を通じてソフトウェアのバージョンとその脆弱性または最新バージョンの提供状況を確認することが、自社の責務と整理するのがよいでしょう。なお、自社でスクラッチ開発した業務アプリケーションなどは、それを安全に維持するのは自社の責務となることから、SBOM相当の管理を行うことが望ましいと言えます。
最後に、SBOMと構成管理で取り扱う情報の違いについて整理しましょう。
SBOMは、標準的な情報管理のフォーマットがISO等のガイドラインで定められており、ソフトウェア名称やバージョン、依存関係などが挙げられます。ソフトウェアを安全に提供することが主眼となる管理形態であるため、構成管理に比べると管理する情報の範囲は狭いと言えます。
一方、構成管理、とりわけサイバーセキュリティ資産管理では、ソフトウェア名称やバージョンの他に、設置場所やIPアドレスなどの環境情報や、保有するデータの区分、平時の起動プロセスや有事の初動対応など、広範囲の情報が求められます。これは、ソフトウェア利用の安全性の担保だけでなく、有事の際の判断や対処などの品質向上も目的に挙げられるためです(サイバーセキュリティ資産管理の詳細は、「『サイバーセキュリティ資産管理』によるCSIRTパフォーマンスの最大化」を参照)。
上述の通り、SBOMと構成管理は、取り扱う情報の範囲が大きく異なることから、同一のデータベースで管理することは不向きと言えます。また、情報収集などのそれぞれの処理の自動化を検討する際にも、機能要件が異なると考えられるため、現時点ではCSIRTにおいて構成管理、PSIRTにてSBOMという目的に見合ったツールを選定して、それぞれ管理することが実効的です。
辻 大輔
パートナー, PwCコンサルティング合同会社