米政府と OpenSSF がパートナーシップ：SBOM 管理のためのツール Protobom とは？

US Government and OpenSSF Partner on New SBOM Management Tool

2024/04/17 InfoSecurity — Open Source Security Foundation (OpenSSF) は米国政府と共同して、ユーザー組織における Software Bill of Materials (SBOMs) 管理を簡素化する、新しいツールを発表した。新しい OSS ツールである Protobom は、すべての組織における SBOM とファイル・データの読取／生成をサポートし、また、業界標準の SBOM フォーマット間で、それらのデータを変換するためのものだ。

このツールは、信頼できるソースからの脆弱性および深刻度の外部記録と、SBOM の情報をリンクし、アプリケーションに統合するために設計されている。したがって、個々のソフトウェアにおいて利用可能なパッチや緩和策に関する情報を、システム管理者やソフトウェア開発コミュニティに対して提供できるようになる。

Protobom は、商用およびオープンソースを問わず、あらゆるアプリケーションにシームレスな相互運用性を提供し、さまざまなデータ形式の SBOM へのアクセスや、読み取り、変換に対応するものだ。

OSS のセキュリティ向上に焦点を当てた、非営利の異業種フォーラムである OpenSSF は、「このツールの目的は、ユーザー組織における SBOM 採用を難しくしている、複数の SBOM データ形式と識別スキームの問題の克服にある」と述べている。

Cybersecurity and Infrastructure Security Agency (CISA) と、Department of Homeland Security (DHS)、Science and Technology Directorate (S&T) は OpenSSF と協力し、Protobom を開発するために、スタートアップ７社によるグループに資金を提供している。

OpenSSF の GM である Omkhar Arasaratnam は、「Protobom は、SBOM の作成を簡素化するだけではなく、オープンソースに依存するユーザー組織のリスクを、積極的に管理できるようにしていく。OSS のセキュリティのためには、公共部門／民間部門／コミュニティなどをつなぐ、パートナーシップが不可欠である。OpenSSF は、このミッションの一翼を担えることを誇りに思う」と語っている。

高まるSBOM要件への対応

SBOM (Software Bill of Materials) とは、組織内のソフトウェア・コンポーネント／ライセンス／コードの依存関係などの目録を取り込んだリストである。それにより、ソフトウェアの透明性が確保され、潜在的な脆弱性などのセキュリティ問題が特定される。

その背景には、１つの脆弱性により、数百から数千の組織が打撃を受けた、2020年の SolarWinds 、2021年の Kaseya、2022年の Log4j、2023年の MOVEit といったインシデントがある。

2021年5月に バイデン米大統領は、連邦政府機関へのソフトウェア・サプライヤーに対して SBOM 要件を指定する、大統領令を発布した。また、2023年10月には、３つの米政府機関が連邦政府請負業者に対して、契約の履行に使用されるソフトウェアの SBOM の作成／維持を義務付ける新規則を提案した。

2023年3月に発表された National Cybersecurity Strateg も、米国における SBOM の利用を広め、Security by Design の原則の後押しを目指している。

CISA の Senior Advisor and Strategist である Allan Friedman は、Protobom の相互運用性機能は、より透明性の高いソフトウェア主導の世界に向けた、大きな一歩になると考えている。

Friedman は、「ソフトウェアの脆弱性は、サイバー・セキュリティにおける重要なリスクであり、既知のエクスプロイトを悪用するは脅威アクターたちは、さまざまな被害を引き起こしている。ソフトウェア・セキュリティの重要な要素として SBOM を活用することで、ソフトウェア・サプライチェーンのリスクを軽減し、新たなリスクに対して、より迅速かつ効率的に対応できる」と説明している。

国家という、物事をタテに積み上げる統治機構と、OSS という、何事もヨコに置くコミュニティが、どのような結節点を持てるのかという、壮大な実験が行われているのかもしれません。どのような未来が見えてくるのかと思うと、ワクワクしてきますが、どう転んでも 20年〜30年くらいの時間が掛かるような感じがします。最悪のシナリオは、コードを書いて配布／共有する権利が、個人から奪われてしまうことです。ブラッドベリの “華氏451度” を思い出してしまいました。数年前に読み返したのですが、物語の中で、すべての家庭に設置されている TV ルームというデバイスに流れ込んでくるコンテンツが、まるで Facebook であることに驚きました。よろしければ、CISA + OpenSSF + OSS で検索も、ご利用ください。