フォーム読み込み中
SBOMとは? 注目される背景と利点、導入時の課題を解説
ソフトバンクビジネスブログ編集チーム
本橋 恵美
2018年からソフトバンクにてB2Bマーケティングに従事。 セミナー企画やウェビナーの立ち上げを担当した後、2023年よりドキュメント制作に携わる。 主な担当領域はスマートワーク実現に向けた内容のコンテンツ。
2024年1月31日掲載
この記事では、セキュリティ分野におけるキーワードや注目を集めている用語についての基礎知識を深めていただくことを目的に、概要やポイントなどを分かりやすく解説しています。この記事が皆さまのお役に立てば幸いです。今回のテーマは「SBOM(エスボム)」についてです。
本記事を監修いただいた方のご紹介
中堅中小企業向けにセキュリティの支援を行う株式会社CISO 代表取締役。人の心根を良くすることで「セキュリティ」のことを考える必要のない世界の実現を目指し、独自のセキュリティサービス(特許取得)を提供。業界問わず幅広く講演・執筆多数。近著に「知識ゼロでもだいじょうぶ withコロナ時代のためのセキュリティの新常識(ソシム)」あり。
SBOMとは? 注目の背景
SBOM(エスボム)とは、Software Bill of Materialsの略称で、ソフトウェア製品がどのようなコンポーネント(部品)から成り立っているかを明確に示す、ソフトウェアの構成表を指します。
近年SBOMが注目されている背景には、ソフトウェアの運用・管理が複雑化していることが挙げられます。ソフトウェアの開発段階から最終的に製品やサービスなどとして利用されるまでの一連の流れを「サプライチェーン」と称しますが、サプライチェーン上に存在するセキュリティの脆弱性はシステム全体に影響を及ぼすため、ソフトウェア全体の信頼性とセキュリティを担保する上で、ソフトウェアサプライチェーンのマネジメントは重要です。
ソフトウェアの開発においては、効率性を重視するためにOSS(オープンソースソフトウェア)※1の使用や、サードパーティコンポーネント※2の使用をする場合がありますが、これらのコンポーネントには脆弱性やセキュリティの問題があることがあります。SBOMを使用することで、各要素の透明性が向上し、問題の発生源を特定しやすくなるのです。
※1 オープンソースソフトウェアは、一般に公開されており、誰でも自由に使用、変更、再配布することができるソフトウェアを指す。
※2 サードパーティコンポーネントとは、ソフトウェア開発者が自身のソフトウェアに組み込むために外部の供給元から入手するコンポーネントを指す。
事例に見るサプライチェーン攻撃
2021年には、広く利用されているシステムのログを記録するためのソフトウェアパーツであるOSSに脆弱性が発見されたことをきっかけに、世界中のソフトウェアベンダや利用企業が大混乱に陥った事件がありました。このOSSが組み込まれているソフトウェアは、脆弱性を悪用した攻撃を受ける可能性がありましたが、どのソフトウェアにこのOSSが組み込まれているのか調べるのに時間を要し、自社開発したものに該当のOSSを使っているのか分からない、といった非常事態になりました。
サプライチェーンの各工程の流れの中では、複数の異なるコンポーネントが複雑に絡み合っています。そのためソフトウェアの根本的な構成要素を完全に把握することが難しい場合があるのです。このような背景から、SBOMといわれるソフトウェアの構成表(部品管理)の必要性が増しています。
SBOMの利点
この章ではセキュリティ担当者におけるSBOMの利点について3つ紹介していきます。
ソフトウェアセキュリティの強化:SBOMはソフトウェアコンポーネントの構成表です。明確な構成情報を整理しておくことで可視性が高まり、組織はセキュリティリスクをもたらす可能性のある脆弱性や古いソフトウェアバージョンを特定できます。SBOMの導入により、組織はセキュリティリスクに対処する積極的な措置を講じることができます。
サプライチェーンのリスク軽減:ソフトウェア開発におけるサプライチェーンは複雑で、複数のベンダやパートナーが関与しています。そのため、それぞれのコンポーネントが脆弱性を抱えていたり、不適切である場合があり、こうしたリスクが組織のシステムに不具合やセキュリティ問題を引き起こす可能性があります。SBOMの導入により、サプライチェーンで使用されているソフトウェアの全コンポーネントの詳細が明確になるため、潜在的なリスクを特定し対策を打つことで、システム全体の安全性を確保し、企業のセキュリティを強化する役割を果たします。
ライセンス違反のリスクを可視化:SBOMにはソフトウェア製品を構成する各コンポーネントのライセンス情報も含まれます。これらの情報により、使用されている全てのコンポーネントがどのようなライセンスで提供されているのか、またそれらが法的に問題を引き起こす可能性があるのかを具体的に把握することが可能になります。ソフトウェア間での依存関係(あるコンポーネントがほかのコンポーネントに依存している状態)の確認も可能なため、間接的に利用しているコンポーネントについてもライセンス違反がないか確認できます。
また、SBOM導入は開発遅延の防止や開発にかかるコストの低減、開発期間の短縮も期待できるため、「開発生産性の向上」という意味でもソフトウェア開発に携わる全ての方にSBOMを設計の中に組み込むことをお勧めします。
SBOM導入の課題
サプライチェーンを狙うサイバー攻撃の手口は複雑かつ高度化しており、前述の米国におけるサイバー攻撃の事例からも分かるように、被害を受けるとその影響範囲は大きく、企業に大きな損害をもたらします。高度化するサイバー攻撃の被害を防ぐためにも、SBOMの導入は有効な手段であると言えます。
しかし、SBOMの導入にはいくつかの課題があります。
まずは、多くのSBOMが海外製であり、導入・運用のハードルが高い点です。問い合わせ窓口が英語であることが多く、疑問点や不具合の解決が難しい場合があります。
次にSBOMの正確な運用には深い知識と情報が必要であり、これが不十分であると効果的な導入・運用が進まないことが挙げられます。また、SBOMツールが既存のツールやシステムとの連携ができない場合、効率的な運用や一元管理が難しくなるためこちらも事前の確認が必要です。
加えて、導入しただけではセキュリティ対策は万全とはいえず、適切に運用ができるオペレーション、対応できる人材がいないと、検出漏れが発生したり、過度な運用負荷をセキュリティ部門に強いることにつながります。
また、SBOMツールの選定においては有償と無償ツールがありますが、特に無償ツールを選んだ場合、性能が限定的となる可能性がある点も事前に考慮する必要があります。
さらに、SBOMツールを用いてSBOMを作成する際にも、コンポーネントの誤検出や検出漏れ等が発生する可能性があるため、SBOMツールで出力された内容に対するレビューも必要となります。
進化するソフトウェア開発には適切な管理を
ソフトウェア開発が進化し、サイバー攻撃が高度化する現代において、SBOMはソフトウェアサプライチェーンにおける透明性とセキュリティを確保するために重要な役割を果たすことが分かりました。SBOMの導入に向けて取り組むことは、組織全体のセキュリティ体制を強化し、事業の持続性と信頼性を保証するための重要な一歩となります。その重要性はますます増していくことは間違いありません。
ソフトバンクは、幅広いソリューションでお客さまのセキュリティ課題を支援いたします。ぜひこの機会にご検討ください。
関連セミナー・イベント
おすすめの記事
条件に該当するページがございません
