Industry Coalition Urges Congress to Hold off on SBOMs Requirements for Defense Contractors
2022/12/02 infoSecurity — サイバー・セキュリティ業界団体の連合は米国議会に対して、防衛請負業者に対する Software Bill of Materials (SBOM) 要件を延期するよう求める、公開書簡を発表した。この書簡は、National Defense Authorization Act for Fiscal Year 2023 の第 4543条に関するものであり、米国防総省が請負業者に対して SBOM 要件を定めるよう求めるものだ。
SBOM とは、オープンソースやサードパーティーのコンポーネントと、それらを構成する原材料の一覧表を指すものである。それにより、セキュリティ・チームは、ソフトウェア・サプライチェーンにおけるサードパーティ・リスクを、より明確に把握できるようになるため、ソフトウェアおよびサプライチェーンのリスク管理には不可欠だとされている。
最近の連邦政府は、SBOM に対する注目度を高めており、2021年5月のジョー・バイデン大統領の大統領令 Improving the Nation’s Cybersecurity には、ソフトウェア・ベンダーが連邦政府の調達プロセスの一環として、このリストを提供するよう求める新たな要件が盛り込まれている。また、2022年11月には、Cybersecurity and Infrastructure Security Agency (CISA) が、ソフトウェアのサプライチェーンの安全確保に関する勧告の一環として、SBOM の利用を取り込んでいる。
しかし、この公開書簡では、「SBOMs に関連する多くの行政府の活動がエコシステムを成熟させるまでの間」は、この法案を延期するよう、議会の Armed Services Homeland Committees 対して要請している。
この分野での立法延期の理由として、4つの重要な要因を概説している。
- 同連合は、2022年7月に Cyber Safety Review Board (CSRB) が発表した Log4j インシデント関する報告書を引用し、SBOM の開発に関する成熟度を、立法前に高める必要があることを強調している。たとえば、SBOM にはフィールド記述のばらつきや、カタログ化されたコンポーネントのバージョン情報の欠如により、制限されていると述べている。
- この書簡では、現時点における議会と政府は、「SBOMに関する政策決定において協調性のないアプローチ」をとっており、この新しい環境を、さらに複雑にしていると論じている。
- また、この法案が予定通り制定された場合、バイデン大統領令などの連邦政府の政策が施行される前に、SBOMs が適用されることになると指摘している。「そのため、大統領令により義務付けられた SBOM の効果や用法を、DoD が観察しなければならなくなる。
- 同連合は、SBOM を説明するために使用される「過度に単純化された例え」に注意を促し、 SBOM はライフサイクルを通じて進化し変化する必要があると指摘している。したがって、SBOMs を大規模に管理するために必要な、複雑な形式/手順/統一性/保護 を確立するには、より多くの時間が必要であるとしている。
なお、同連合は、SBOM の重要性を理解し、それが効果的に機能するよう、議会と協力していくことを強調している。
この書簡には、「SBOM は組織のサイバー・リスク低減に役立つと期待されているが、SBOM をサイバー・セキュリティの成果向上につなげるためには、プロセス/ツール/標準が必要になる。政府/産業界などの関係者は、すでにこうしたプロセス/ツール/標準の開発に取り組んでおり、その取り組みは目覚しいスピードで進んでいる。SBOM が期待される利益を実現するために、議会がとり得る最も建設的な措置は、この進行中の作業を支援し、SBOM を義務付ける将来の法律が、米国政府内で全体的な調和を果たすことだ」と記されている。
この書簡の署名者は、Alliance for Digital Innovation (ADI), The Software Alliance, Center for Procurement Advocacy (CPA), Cybersecurity Coalition and the US Chamber of Commerce である。
Endor Labs の創業者である Jamie Scott は、「SBOMs の実践には、それを展開する前に改良が必要だという連合の主張に同意する。SBOM に必要なデータとは何か、そして最小限の SBOM から高品質の SBOM を構成し得るものとは何か? それが、政府機関が問うべき重要な問題である。もし、それぞれの組織がデータ品質を定義すれば、最高品質のデータを提供する推奨ツールのセットで作業できる。しかし、承認され吟味されたツールが作成されるまでは、ソリューション間にバラツキが生じる。そして、苦労することになるだろう」と述べている。
彼は、「このガイダンスの責任を政府機関に負わせることは、組織間での摩擦を引き起こし、些細な要件をもたらし、エコシステム全体に軋轢を生じることになる。まずは、データに対する合理的な要件と合理的な慣行から始める必要がある。業界は、繰り返し実施できる契約の形態や、標準的なプラクティスやプロセスを確立していない。また、提供されるガイダンスも、これらのプラクティスやプロセスを詳述していない。まず、透明性を確立したいのであれば、この目標を達成するための、多くのツールが存在している。しかし、その実践とプロセスは、現時点における業界では、その全体で不明確なのだ」と指摘している。
11月30日の CyberSheath の調査によると、米国の防衛請負業者の 87% が、基本的なサイバー・セキュリティ規制の要件を満たしていないことが判明している。
文中で照会されている、11月30日の「米国の国防産業に対する調査:87% がサイバー・セキュリティ要件に不適合」という記事を読むと、セキュリティの最先端を走っているはずの米国防衛産業が、それ程でもないことが、よく分かります。そちらの記事では、SBOM には触れていませんが、それ以前の段階でセキュリティ基準に達していない、企業が多いことが明らかにされています。8月13日に ロシアの Killnet が、Lockheed Martin に侵入したと主張していましたが、今後も侵害が続くのかもしれません。よろしければ、SBOM で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.