米国政府が「SBOM」による管理を大統領令に盛り込んだ意味

今回は「米国政府が「SBOM」による管理を大統領令に盛り込んだ意味」についてご紹介します。

関連ワード (セキュリティ、企業セキュリティの歩き方等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。

 これまで、以下の記事でソフトウェアの脆弱性に伴う対応には多くの課題があることを述べてきた。

 そして、前回その対策には、「ソフトウェア部品表」(SBOM:Software Bill Of Materials)が切り札となるかもしれないということを述べてきた。

 今回は、このSBOMが注目を浴びるきっかけとなった、2021年5月12日に発行された米国大統領令「Executive Order on Improving the Nation’s Cybersecurity(国家のサイバーセキュリティの向上に関する大統領令)」とその周辺動向などについて述べていく。

 Joe Biden米大統領が署名した大統領令には、国家のサイバーセキュリティ向上に関する内容が記載された。その内容はかなりの長文で多岐にわたる。また、それにもかかわらず、かなり突っ込んだ具体的な対策方法も盛り込んでおり、相当に意欲的な内容だと言える。そのため、大項目だけでも下図にあるように全部で11条もある。それだけ米国が現在、重大な危機に直面しているということを裏付けていると言えよう。

 そのような脅威の認識を踏まえ、この大統領令は米国政府がサイバー攻撃に対して「デジタルインフラの透明性を高める対策」を求めることを大方針としている。そして、具体的な対策の代表例が第4章「ソフトウェア・サプライチェーン・セキュリティの強化」に記載されたSBOMだ。しかし、ここで言う「デジタルインフラの透明性の高さ」というのは、一体何なのだろうか。

 もちろん、その言葉の意味をイメージすることは、それほど難しくはない。現状のデジタルインフラが不透明であり、ブラックボックスのようになっていると米国政府は認識している。そして、大統領令で指摘したようにデジタルインフラの透明性を高めなければ、政府として必要なITリソースを調達しないとまで言っているのだ。

 そして、具体的なリスクとして表面的な管理からでは見えにくい「ソフトウェアサプライチェーンのリスク」に対して非常に大きな懸念を抱いている。米国政府の考えでは、そのリスクを低減させるために、デジタルインフラの透明性を高めることが鍵になるようだ。そして、その具体的な対策として、SBOMによる管理が挙げられたということなのだろう。

 また、具体的な運用に関しては、米国国立標準技術研究所(NIST)がテストの種類の特定、テストの最低基準、セキュリティ基準、それらの運用のためのガイドラインを整備し、運用の仕組みを逐次作成することとなっている。さらに、具体的な期限(大統領令の公開から60日や270日)の記載もあり、それに沿ったSBOM運用の仕組みが2021年から2022年にかけて出来つつある。

 そして、既に具体的なアウトプットもそれなりにそろい始めている。しかし、それでもSBOMで管理したい情報の理想と対応できる現状に食い違いが少なからずあるといい、これを埋める作業にNISTや米国家安全保障局(NCA)が心血を注いでいる真っ最中のようだ。これが、バズワードになりつつあるSBOMというものが注目されるに至った発端であり、現在における米国のSBOM事情のあらましだ。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
双日、電子署名ソリューションを全社導入–取引先との契約に利用
IT関連
2021-04-26 02:31
米バイデン政権、約220兆円のインフラ計画を発表–ブロードバンド拡充に約11兆円
IT関連
2021-04-02 21:18
小規模企業のソーシャルメディア活用–ありのままを伝える投稿が成功のカギ
IT関連
2022-07-09 08:50
New Relic、統合型のAI駆動DEMソリューションを発表
IT関連
2024-07-13 01:16
日立製作所、「オフィスグリコ」とコラボで無人店舗の実証を開始
IT関連
2022-02-26 13:20
ネオジャパン、避難確保計画の作成システムを構築–年間の作業時間が41%減少
IT関連
2023-04-29 05:30
スーパーマイクロ、液冷サーバーの最新動向を解説
IT関連
2024-12-17 15:12
これからのデータ保護に必要なソリューションは何か–キーワードは「BSMA」
IT関連
2023-03-10 15:33
日本総合住生活、「RISE with SAP」で次世代型経営基盤を構築
IT関連
2025-02-12 16:40
「アジャイルサムライ」の著者が語る、技術志向の企業が世界をどう見ているのか? そしてソフトウェアテスト自動化を進化させる方法について(前編)。JaSST'22 Tokyo基調講演
CI/CD
2022-04-11 11:54
東大総長かたるなりすましメールに注意 「ときょ じゃぱん」「地球の世話しなさい!」など本文に
セキュリティ
2021-02-03 16:49
ポケモンGO、ついに「ヘラクロス」日本上陸でジョウト図鑑埋まる ピンクの「パルキア」も
くらテク
2021-08-09 09:59
産業用制御システム攻撃の歴史から学ぶ–サイバーセキュリティ4つの教訓
IT関連
2022-11-25 07:53
国内ITサービス市場、新型コロナ感染拡大や半導体不足があったものの2021年は回復、2022年も堅調との予測。IDC Japan
業界動向
2022-09-08 13:46