米国政府が「SBOM」による管理を大統領令に盛り込んだ意味

今回は「米国政府が「SBOM」による管理を大統領令に盛り込んだ意味」についてご紹介します。

関連ワード (セキュリティ、企業セキュリティの歩き方等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。

 これまで、以下の記事でソフトウェアの脆弱性に伴う対応には多くの課題があることを述べてきた。

 そして、前回その対策には、「ソフトウェア部品表」(SBOM:Software Bill Of Materials)が切り札となるかもしれないということを述べてきた。

 今回は、このSBOMが注目を浴びるきっかけとなった、2021年5月12日に発行された米国大統領令「Executive Order on Improving the Nation’s Cybersecurity(国家のサイバーセキュリティの向上に関する大統領令)」とその周辺動向などについて述べていく。

 Joe Biden米大統領が署名した大統領令には、国家のサイバーセキュリティ向上に関する内容が記載された。その内容はかなりの長文で多岐にわたる。また、それにもかかわらず、かなり突っ込んだ具体的な対策方法も盛り込んでおり、相当に意欲的な内容だと言える。そのため、大項目だけでも下図にあるように全部で11条もある。それだけ米国が現在、重大な危機に直面しているということを裏付けていると言えよう。

 そのような脅威の認識を踏まえ、この大統領令は米国政府がサイバー攻撃に対して「デジタルインフラの透明性を高める対策」を求めることを大方針としている。そして、具体的な対策の代表例が第4章「ソフトウェア・サプライチェーン・セキュリティの強化」に記載されたSBOMだ。しかし、ここで言う「デジタルインフラの透明性の高さ」というのは、一体何なのだろうか。

 もちろん、その言葉の意味をイメージすることは、それほど難しくはない。現状のデジタルインフラが不透明であり、ブラックボックスのようになっていると米国政府は認識している。そして、大統領令で指摘したようにデジタルインフラの透明性を高めなければ、政府として必要なITリソースを調達しないとまで言っているのだ。

 そして、具体的なリスクとして表面的な管理からでは見えにくい「ソフトウェアサプライチェーンのリスク」に対して非常に大きな懸念を抱いている。米国政府の考えでは、そのリスクを低減させるために、デジタルインフラの透明性を高めることが鍵になるようだ。そして、その具体的な対策として、SBOMによる管理が挙げられたということなのだろう。

 また、具体的な運用に関しては、米国国立標準技術研究所(NIST)がテストの種類の特定、テストの最低基準、セキュリティ基準、それらの運用のためのガイドラインを整備し、運用の仕組みを逐次作成することとなっている。さらに、具体的な期限(大統領令の公開から60日や270日)の記載もあり、それに沿ったSBOM運用の仕組みが2021年から2022年にかけて出来つつある。

 そして、既に具体的なアウトプットもそれなりにそろい始めている。しかし、それでもSBOMで管理したい情報の理想と対応できる現状に食い違いが少なからずあるといい、これを埋める作業にNISTや米国家安全保障局(NCA)が心血を注いでいる真っ最中のようだ。これが、バズワードになりつつあるSBOMというものが注目されるに至った発端であり、現在における米国のSBOM事情のあらましだ。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
NEC、ファイルサーバー統合管理ソフトの最新版–セキュリティ対応など強化
IT関連
2023-04-13 19:13
企業のサステナビリティー戦略を支えるデータ活用–ビジネス成長と環境保護を両立させるには
IT関連
2022-08-03 18:36
HPEが警鐘を鳴らす「クラウドによるデータ活用の“落とし穴”」とは
IT関連
2023-02-17 10:17
東大IPCがガンの診断・治療に役立つ独自抗体医薬を開発する凜研究所に2億円を出資
ヘルステック
2021-01-20 15:17
次世代いす型モビリティを手がけるLIFEHUBが1億円調達、進行方向を向いたままエスカレーターを利用可能など目指す
IT関連
2022-03-05 09:28
群馬県庁、スマートロックで会議時間短縮–受け渡しの手間ゼロで時短
IT関連
2024-11-21 21:05
福岡市、約12万台のDell Chromebookを導入–4カ月で1人1台の端末環境整備
IT関連
2021-07-29 11:03
オープンソースの地理情報システム「Re:Earth」登場 マウス操作で情報追加、地図をWebアプリとして公開可
科学・テクノロジー
2021-07-29 13:22
Google、Apple、Twitterなどが加盟するAIC、香港当局のデータ法改定に「サービス停止の可能性」と警告
企業・業界動向
2021-07-07 10:34
Twitter、アカウントを検索から隠すなど4つの新機能を検討
企業・業界動向
2021-07-08 05:15
ネット印刷のプリントネット、ユーザー向けに検索型FAQ「Helpfeel」導入
IT関連
2023-12-12 04:36
Linuxスマートフォン「PinePhone Pro」の「Explorer Edition」登場
IT関連
2022-01-20 03:14
富士通とAWSの新たな協業でメインフレームのクラウド移行は本格的に動き出すか
IT関連
2024-03-29 08:55
IT運用担当者はキャリアパスに不安–スキル獲得機会の欠如や待遇・評価面に不満
IT関連
2023-09-15 23:38