Skip to content Skip to footer
Search

Loading Results

SBOM導入に際して参照すべき資料とそのポイント

2022-05-13

はじめに

本稿はソフトウェア部品表(SBOM:Software Bill of Material、「エスボム」と発音)に関する連載の第6回です。第1回ではソフトウェアサプライチェーンの課題を解決するためにSBOMの普及が本格化している経緯を説明しました。第2回ではソフトウェアサプライチェーンリスクが顕在化した事例についてSBOMによる解決策を考察しました。第3回第4回では製品セキュリティをテーマに、SBOMの活用方法を提示し、サプライチェーン全体での取り組みが必要であることを訴えました。続く第5回ではCSIRTにおける既存の構成管理とSBOM管理のスコープについて考察しました。以上の連載を通してSBOMの効果と必要性をご理解いただけたと思います。

第6回の今回は、SBOMの導入を進める上で参照すべき主なガイドラインや規格等の情報を、中長期的な意思決定に影響する動向情報、実務担当者向けの運用に関する情報、およびテクニカルな情報の3つに分類し、押さえておくべきポイントを解説します。

まとめ

本稿ではSBOM導入に際して参照すべき主な資料とそのポイントを解説しました。担当業務の必要に応じて資料を参照する際の手引きになれば幸いです。

SBOMの共有はソフトウェアサプライチェーン全体のセキュリティを向上する仕組みです。特に、サイバー攻撃の文脈では脆弱性の悪用機会を縮小するという重要な効果が期待されています。ワクチン接種による集団免疫の獲得のように、普及すれば堅実な効果が期待できる反面、導入が一部の組織に留まった場合、その効果も限定的なものとなってしまいます。日々巧妙化するサイバー攻撃に対抗するという共通目的のもと、官と民、サプライヤーとコンシューマーという立場の違いを越えて前向きに推進してくことが求められます。

1 JETRO, 2021, 「バイデン米大統領、サイバーセキュリティを強化する大統領令に署名」https://www.jetro.go.jp/biznews/2021/05/35e8aca1614f6fe5.html

2 NIST, 2021, 「Software Supply Chain Security Guidance Under Executive Order (EO) 14028 Section 4e」
https://csrc.nist.gov/publications/detail/white-paper/2022/02/04/software-supply-chain-security-guidance-eo-14028-section-4e/final

3 NIST, 2021,「Critical Software Definition」
https://www.nist.gov/itl/executive-order-improving-nations-cybersecurity/critical-software-definition

4 経済産業省, 2022, 「サイバー・フィジカル・セキュリティ確保に向けたソフトウェア管理手法等検討タスクフォースの検討の方向性」
https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_seido/wg_bunyaodan/software/pdf/006_03_00.pdf

5 NTIA, 2021, 「The Minimum Elements For a Software Bill of Materials (SBOM)」
https://www.ntia.doc.gov/files/ntia/publications/sbom_minimum_elements_report.pdf

6 NITA, 2021, 「Software Suppliers Playbook: SBOM Production and Provision」
https://ntia.gov/files/ntia/publications/software_suppliers_sbom_production_and_provision_-_final.pdf

7 コードの変更時にビルドからテスト、リリースまでの一連のプロセスを自動化したもの

8 NITA, 2021, 「Software Consumers Playbook: SBOM Acquisition, Management, and Use」
https://ntia.gov/files/ntia/publications/software_consumers_sbom_acquisition_management_and_use_-_final.pdf

9 The Linux Foundation, 2020, 「The Software Package Data Exchange® (SPDX®) Specification Version 2.2.1」
https://spdx.github.io/spdx-spec/

10 OWASP, 2022,「CycloneDX 1.4」
https://cyclonedx.org/specification/overview/

11 NIST, 2018,「Software Identification (SWID) Tag」
https://csrc.nist.gov/projects/Software-Identification-SWID

12 ISO, 2021, 2020, 「ISO/IEC 5962:2021 Information technology — SPDX® Specification V2.2.1」
https://www.iso.org/standard/81870.html

13 ISO, 2015, 「ISO/IEC 19770-2:2015 Information technology — IT asset management — Part 2: Software identification tag」
https://www.iso.org/standard/65666.html

14 経済産業省, 2022, 「サイバー・フィジカル・セキュリティ確保に向けたソフトウェア管理手法等検討タスクフォースの検討の方向性」
https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_seido/wg_bunyaodan/software/pdf/006_03_00.pdf

15 NTIA, 2021, 「Formats & Tooling Workgroup」
https://www.ntia.gov/files/ntia/publications/ntia_sbom_tooling_2021-q2-checkpoint.pdf

16 Docker, 2022, 「Generate the SBOM for Docker images」
https://docs.docker.com/engine/sbom/

17 経済産業省, 2022, 「サイバー・フィジカル・セキュリティ確保に向けたソフトウェア管理手法等検討タスクフォースの検討の方向性」
https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_seido/wg_bunyaodan/software/pdf/006_03_00.pdf

執筆者

丸山 満彦

パートナー, PwCコンサルティング合同会社

Email

上杉 謙二

ディレクター, PwCコンサルティング合同会社

Email

村上 純一

ディレクター, PwCコンサルティング合同会社

Email

澤山 高士

シニアアソシエイト, PwCコンサルティング合同会社

Email

{{filterContent.facetedTitle}}


{{filterContent.facetedTitle}}