米国政府が「SBOM」による管理を大統領令に盛り込んだ意味

今回は「米国政府が「SBOM」による管理を大統領令に盛り込んだ意味」についてご紹介します。

関連ワード (セキュリティ、企業セキュリティの歩き方等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。

 これまで、以下の記事でソフトウェアの脆弱性に伴う対応には多くの課題があることを述べてきた。

 そして、前回その対策には、「ソフトウェア部品表」(SBOM:Software Bill Of Materials)が切り札となるかもしれないということを述べてきた。

 今回は、このSBOMが注目を浴びるきっかけとなった、2021年5月12日に発行された米国大統領令「Executive Order on Improving the Nation’s Cybersecurity(国家のサイバーセキュリティの向上に関する大統領令)」とその周辺動向などについて述べていく。

 Joe Biden米大統領が署名した大統領令には、国家のサイバーセキュリティ向上に関する内容が記載された。その内容はかなりの長文で多岐にわたる。また、それにもかかわらず、かなり突っ込んだ具体的な対策方法も盛り込んでおり、相当に意欲的な内容だと言える。そのため、大項目だけでも下図にあるように全部で11条もある。それだけ米国が現在、重大な危機に直面しているということを裏付けていると言えよう。

 そのような脅威の認識を踏まえ、この大統領令は米国政府がサイバー攻撃に対して「デジタルインフラの透明性を高める対策」を求めることを大方針としている。そして、具体的な対策の代表例が第4章「ソフトウェア・サプライチェーン・セキュリティの強化」に記載されたSBOMだ。しかし、ここで言う「デジタルインフラの透明性の高さ」というのは、一体何なのだろうか。

 もちろん、その言葉の意味をイメージすることは、それほど難しくはない。現状のデジタルインフラが不透明であり、ブラックボックスのようになっていると米国政府は認識している。そして、大統領令で指摘したようにデジタルインフラの透明性を高めなければ、政府として必要なITリソースを調達しないとまで言っているのだ。

 そして、具体的なリスクとして表面的な管理からでは見えにくい「ソフトウェアサプライチェーンのリスク」に対して非常に大きな懸念を抱いている。米国政府の考えでは、そのリスクを低減させるために、デジタルインフラの透明性を高めることが鍵になるようだ。そして、その具体的な対策として、SBOMによる管理が挙げられたということなのだろう。

 また、具体的な運用に関しては、米国国立標準技術研究所(NIST)がテストの種類の特定、テストの最低基準、セキュリティ基準、それらの運用のためのガイドラインを整備し、運用の仕組みを逐次作成することとなっている。さらに、具体的な期限(大統領令の公開から60日や270日)の記載もあり、それに沿ったSBOM運用の仕組みが2021年から2022年にかけて出来つつある。

 そして、既に具体的なアウトプットもそれなりにそろい始めている。しかし、それでもSBOMで管理したい情報の理想と対応できる現状に食い違いが少なからずあるといい、これを埋める作業にNISTや米国家安全保障局(NCA)が心血を注いでいる真っ最中のようだ。これが、バズワードになりつつあるSBOMというものが注目されるに至った発端であり、現在における米国のSBOM事情のあらましだ。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
キヤノンMJグループ、「DXクラウド」を導入–社員の「デザイン思考」を可視化
IT関連
2024-05-25 19:43
Rocket LabのベックCEOがより大きなロケットが必要な理由と株式公開の理由を語る
宇宙
2021-03-24 03:46
本物のクラウドと従来型サービスを誤解していないか–ガートナーが流行解説
IT関連
2022-11-04 06:52
コメディー作品の“笑いどころ”を機械学習で予測 「ビッグバン・セオリー」でユーモア学ぶ :Innovative Tech
トップニュース
2021-03-13 05:57
量子コンピューティングでエアモビリティの航路を管制 “空の交通事故”抑止に
企業・業界動向
2021-06-03 13:44
今もなお残るリモートワークに対する勘違い
IT関連
2022-12-16 14:07
OpenAI、新しい動画生成AIモデル「Sora Turbo」を有料ユーザーに公開
IT関連
2024-12-11 08:39
アマゾンが労働組合結成をめぐる投票で勝利確定、RWDSUは結果に異議
パブリック / ダイバーシティ
2021-04-11 04:44
S&P500は世界最強の株価指数–業績相場に挑む米国株式
IT関連
2021-04-09 22:25
SolarWindsハッキング、1000人超のエンジニアが関与の可能性–マイクロソフトのプレジデント
IT関連
2021-02-17 14:04
東宝、クラウドERP「RISE with SAP」で経営管理基盤を刷新
IT関連
2024-07-28 13:19
Hammerspace、日本市場へ本格参入–APAC地域の成長戦略を加速
IT関連
2025-03-01 05:56
組織ごとのセキュリティ対策では困難な時代に–トレンドマイクロが総括
IT関連
2024-01-11 23:59
海外現地人材のリモート雇用、世界的に増加中–Deel調査
IT関連
2024-02-14 00:11