脆弱性対策の切り札になるかもしれない「SBOM」

今回は「脆弱性対策の切り札になるかもしれない「SBOM」」についてご紹介します。

関連ワード （セキュリティ、企業セキュリティの歩き方等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。

　これまで脆弱性に関するさまざまな背景や対応の難しさ、ソフトウェアサプライチェーンがリスクをもたらすことなどについて述べた。

　脆弱性情報の公開は、幾重にも講じたセキュリティ対策の努力を一瞬で無にし、非常に大きなインパクトを与える。現代のシステムは、パーツやコンポーネントなどを組み合わせた複雑な構造になっており、場合によっては、ブラックボックスのようになっていることから、もはや管理したくても管理できない状況であり、それが脆弱性の対応の遅れや放置につながっている。

　特にオープンソースソフトウェア（OSS）は、パーツやコンポーネントとして広く利用されており、また誰でも自由に使えるという特性から、OSSの脆弱性が公開された時の影響の大きさは、独自開発のソフトウェアや商用ソフトウェアよりも大きくなりがちだ。そのため、システム開発者や管理者にとって脆弱性への対応は頭の痛い問題であり続けている。今回は、このような脆弱性対応のための切り札と注目されているソフトウェアの管理の仕組みについて述べる。

　コンピューターの歴史はそれなりに長いが、ITが本格的にビジネスの中核に位置付けられ始めたのは、1990年代後半からだろう。IT業界にとって大きなターニングポイントとなった、「Windows 95」の発売前後の「IT革命」と言われた時期とも一致する。

　それ以前にも、メインフレームなどを使った情報処理・管理の仕組みはあり、本格的なIT化が2000年以降にずれ込んだ業種・業態もたくさんあったが、企業や組織で1人1台のコンピューターが当然となったのは、やはりWindows 95の出現であり、コンピューターの歴史に大きな影響を与えたと言える。

　その後、CPU処理の高速化に伴うオープンシステムの活用や、Linuxに代表されるOSSの普及などが進んだ。現在の主流になりつつあるクラウドコンピューティングなど、ITはどんどん進化している。また、この過程で従来では不可能だった「高機能なシステムを非常に短期で開発する」というシステム開発手法が一般化していった。

　高機能なシステムを実現するには大容量のソースコードが必要であり、素直に考えればソースコードの量が増えるほどに、システム開発の期間や作業が増加するはずだ。しかし、ITの進化はその当然の予想を覆し、高機能化と開発の短期化という矛盾する2つの要件の両立を実現させてしまった。そのITの進化とは、「モジュール」「コンテナ」「コンポーネント化」「オブジェクト指向」「サービス指向アーキテクチャー（SOA＝Service-Oriented Architecture）」「アジャイル開発」などのさまざまな概念や手法の登場だ。

　もちろんこれらは、個々には全く別のものだが、システムを管理しやすく、効率的な実装や運用もそれぞれの特性で可能にしてしまった。その一方、これらが組み合わされてITが進化したことによって、システムの構造はどうしても複雑化してしまう。それでも、このような複雑な構成が、現在のITでは当たり前の状況となった。