米陸軍は SBOM を望んでいる:民間への波及効果が期待される?

The Army Wants SBOMs—and So Should the Other Services

2023/04/11 DefenseOne — 公共分野の組織と、連携するすべての組織は、どのようなソフトウェアが使われているのかを、よりよく把握する必要がある。2022年10月に、米陸軍の調達部門は、ソフトウェアとネットワークをベースにした攻撃を防ぐために、大きな変化をもたらす可能性のある小さな一歩を踏み出した。それは、SBOM に関する情報提供を求めるものである。

SBOMとはなんだろう? 最も単純な形として、ソフトウェア部品表は、アプリケーションやシステムを構成する材料のリストに相当する。最近のソフトウェアの多くは、オープンソースのリポジトリや、ライセンスされたサードパーティのコンポーネントなどの、他から取得した部品を含んでいる。SBOM は、これらの出処の概要を明示的に示し、ソフトウェア・システム全体の起源/脆弱性/リスクを、購入者/運用者/防御者が評価できるようにするものだ。


しかし、SBOM は単なるリスト以上のものを提供できる。SBOM は、組織による重要な情報の発見や、ソフトウェア内のコンポーネントの調査、バージョン履歴の確認にも役立つ。このような情報と、それを取り巻くルールは、ネットワーク防御にとって極めて重要である。他所から取り込んできたコードの塊に関連するリスクを明らかにすることで、予定外の作業を減らし、コンポーネントの脆弱性を自動的に監視し、ソフトウェアのリリース前にセキュリティ基準を満たしていることを確認できる。

しかし、永続的に使用するためには、ソフトウェア・コンポーネントの追加や、脆弱性の発見に応じて、SBOM を継続的に更新する必要がある。理論的には、それを手動で行うことも可能だが、遅延することなく、法外なコストを掛けずに行うには、自動化が唯一の現実的な方法になるだろう。

つまり、新しいプログラムやプロジェクトでは、最初から自動アップデートのサポートを組み込む必要がある。自動生成および管理機能なしに構築された SBOM は、単なる静的な文書であり、SBOM の変更に対応しないままリリースされ、新しいコンポーネントが押し出されると、その有効性と適応性が低下する危険性が生じる。

SBOM は、標準化され読みやすい形式で、出力されるように構築されるべきである。たとえば、脆弱性について警告を発し、修正を提案するダッシュボードから、人間もコンピュータも簡単に洞察を得られるようになる。開発者と運用者は、次に何をすべきかをトレーニングする必要がある。

SBOM の導入には障害もある。各省庁が、さまざまなツールやソフトウェアを使用することで、データの共有や交換プロセスに影響が生じる可能性がある。SBOM が成功するかどうかは、プロセスをいかに標準化するかということに、大きく依存する。

適切な技術を導入する際にはトレーニングが必要であるが、単なる1つの課題として捉えるべきだ。それぞれの組織は、SBOM の作成方法/内容/効果的な使用方法について、現在も学び続けている。さらに、国防総省が SBOM を義務付けるという上院の提案に対して、防衛産業が異議を唱えたように、SBOM の幅広い採用を支援するための要件が、現時点では確立されていない。

しかし、SBOMS の価値を見過ごすべきではない。たとえば、SBOM の機能により、ユーザーに脆弱性許容リストの作成を促すことができる。この機能は、信頼できるファイル/アプリケーション/プロセスのみを受け入れることで、セキュリティ攻撃を減らし、ノイズを制限し、重要な問題に対処するための余裕を生み出す。この機能により、検証されていないソースからコードが引き出されたときに生じる、未知の脆弱性を特定し、リスクを評価し、軽減し、アプリケーションの購入者/開発者に対して、さらなる透明性を提供できるようになる。

最近の政策変更と大統領令により、防衛コミュニティ全体のセキュリティの重要性が高まり、リーダーたちはサプライチェーンのセキュリティ評価を、強化する方向へと動き始めた。SBOM が効果的に導入され、機能やワークフローに組み込まれることで、セキュリティと効率の向上を目指す、業界全体のシフトをサポートされるだろう。

先日に陸軍が行った情報提供の要請は、陸軍のリーダーがサプライチェーンを保護し、サイバー攻撃に対する防御を高めるために、SBOM の持つ力を認識していることを示している。他のリーダーも、これに倣うべきだろう。

Joel Krooswyk は GitLab Inc. の連邦政府 CTO である。

今年から始まると思っていた、米政府による SBOM の導入ですが、まだ時間が掛かりそうです。その一方で、この記事によると、米陸軍において SBOM の機運が高まっているようであり、それが民間へも波及するのかと期待させてくれます。現実に、最近では DockerGitHub などが、SBOM への対応を開始しています。よろしければ、SBOM で検索も、ご利用ください。

%d bloggers like this: