SBOM エコシステムを CISA が推進:OSS の可視性を高めていく – ETIC 2023

ETIC 2023: CISA Developing SBOM Ecosystem for Open-Source Software Visibility

2023/05/08 FedTechMagazine — 米国の CISA (Cybersecurity and Infrastructure Security Agency) は、ソフトウェア・プログラミングの基礎であるライブラリ/バージョン/コンポーネントの可視性を高めるために、企業が公開する SBOM (Software Bill Of Materials) のエコシステムを推進している。ACT-IAC の Emerging Technology and Innovation Conference において、CISA の Technical Director for Cyber である Christopher Butera は、今後の SBOM ガイダンスが詳細なレベルで実現するためには、ベンダーからのフィードバックが必要だと述べている。


2021年11月に発見された、脆弱性 Log4Shell が突きつけた現実は、広範に用いられているオープンソース・ソフトウェアの深刻な脆弱性が、連鎖的な影響を及ぼすことである。そのため、政府は、ソフトウェア・ベンダーに SBOM (相互に関連するコンポーネントのマシンリーダブルなインベントリ) の提供を求めるようになっていると、Butera は述べている。

CISA の急進的なビジョンである、ソフトウェアの透明性と説明責任について、ベンダーが動き出すまでには時間がかかるだろう。Butera は、「この分野では、やるべきことが山ほどある。そして、私たちの活動に対して、コミュニティ全体の後押しが必要になる」と述べている。

各省庁が SBOM への道を切り開く方法

国務省の Cybersecurity-Supply Chain Risk Management and Emerging Technologies Working Group のリーダーである Louis Blazy は、「将来的には国務省のような機関も、SBOM を使用するために行うべきことがある。まず第一に、各省庁は、募集要項で SBOM を要求するための調達言語を起草していない。また、SBOM を使用するために不可欠な、SBOM のソフトウェア保証レビューの実施方法もわかっていない」と述べている。

一部の機関では、人工知能を利用したサプライチェーン照合ツールや、ソフトウェア・ベンダーの情報分析により、レビューすべきコードの量を減らしている。しかし、そのプロセスには、コストの限界がある。

Blazy は、「C-SCRM (Cybersecurity Supply Chain Risk Management) の領域における確率的リスク評価は、業界内で新たなニーズとなっているが、まだ対処されていない」と述べている。

オープンソース・ソフトウェアにおける継続的な課題

その一方で、GitHub や GitLab といったオープンソース・リポジトリを介して、各機関は攻撃を受け続けている。

Blazy は、「脆弱だとわかっているコードを使い続けているのは、安価で効果的だからだ。配信まで提供してくれる。しかし、残念なことに、オープンソース・ソフトウェアのテストに関するガイダンスは、相応には成熟していない。一部の調査結果から推定されるのは、ソフトウェア製品の 90% にオープンソースのコンポーネントが含まれていることだ」と彼付け加えている。

CISA に責務として、サイバー・ディフェンス・ツールを、他の機関でも利用できるようにする必要があるため、可能なかぎり多くのツールをオープンソース化しようとしている。Butera は、「そのため CISA は、最も一般的な商用ソフトウェアやオープンソース・ソフトウェアが、正しいテストとセキュアな開発基盤を採用し、適切なリソースを確保することに重点を置いている」と述べている。

このため、CISA は 4月13日に、Security-by-Design と Security-by-Default の原則を発表し、オンプレミス/モバイル/クラウド/IT/OT に加えて、ハードウェアにも適用することがあるとしている。

それと同時に CISA は、小規模な企業が Securiry-by-Design の道を歩み始めるのを支援しようとしている。Butera は、「小規模な企業における、よりセキュアなコーディングを推進する、オープンソース・ツール作成の取り組みも行っている」と述べている。

2023年の ACT-IAC イベントの詳細については、カンファレンスのページを参照してほしい。

なんとなくですが、SBOM に関する記事が増えてきていますね。直近のものは、2023/05/04 の「SBOM によるセキュリティ強化:Gartner の予測値について考える」であり、ビジネスの側面からの予測が提供されています。よろしければ、SBOM で検索も、ご参照ください。