米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、ソフトウェア部品表(SBOM)に必要な最小要素を記載した政府ガイドラインの改訂版について、コメント募集を開始しました。
SBOMとは、組織または特定の事業部門が使用しているすべてのソフトウェアパッケージとその依存関係、すなわちリストされたソフトウェアが構築されている他の要素(オープンソースの部品を含む)を記載した機械可読な文書です。
2021年、米国国家電気通信情報局(NTIA)は、連邦機関や米国企業が独自のSBOMを作成するのを支援するために、2021年NTIA SBOM最小要素という文書を公開しました。この文書は、バイデン大統領による2021年5月の国家サイバーセキュリティ強化に関する大統領令(EO 14028)に基づいて作成されました。
2022年9月、ホワイトハウスは、米国政府にソフトウェアを提供するベンダーにSBOMの提供を義務付ける新たな大統領令を発表しました。
この目的は、米国政府にソフトウェアやサービスを提供するサプライチェーン上のすべての企業が、サイバー攻撃から十分に保護されていることを確保することでした。
当時、この決定は論争を呼び、サイバーセキュリティ業界団体の連合が公開書簡を発表し、エコシステムが十分に成熟していないことを理由に、米国議会に防衛請負業者へのSBOM要件の延期を求めました。
2022年9月、行政管理予算局(OMB)は、覚書M-22-18「安全なソフトウェア開発慣行によるソフトウェアサプライチェーンのセキュリティ強化」を発行し、CISAが2021年NTIA SBOM最小要素の後継ガイダンスを作成することを示しました。
2021年から2025年にかけてのSBOMの状況変化
最近の動きは、トランプ政権下でのSBOM推進戦略の変更を示唆しているようです。
まず、2021年8月からCISAのSBOM活動を主導してきた最も積極的なSBOM推進者の一人であるアラン・フリードマン氏が、2025年7月末に同庁を退職しました。
8月初旬には、オープンソースセキュリティ財団(OpenSSF)が、CISAのSBOMワーキンググループも解散し、同財団が「バトンを引き継ぎ」後継グループを立ち上げると発表しました。
しかし、現時点でCISAはSBOMワーキンググループの解散を公式には認めていません。
CISAはまた、「SBOMツールの進化やSBOM実装の成熟度向上を反映する」ため、2021年NTIA SBOM最小要素の改訂版を公開する意向も発表しています。
「例えば、SBOMツールの分野はSBOMの生成だけでなく、共有、分析、管理などの機能にも拡大しています」とCISAは説明しています。
SBOMコミュニティは2021年以降大きく成長し、新たな関係者の参入や、SBOMの生成・導入の開発と改善におけるオープンソースコミュニティの参加が強化されています。
CISAは現在、新たなガイドライン策定のための意見募集を行っており、分野の専門家、学術専門家、産業界、市民団体、関連する経済専門家などを含むすべての一般市民の参加を歓迎すると述べています。
関心のある方は2025年10月3日までに意見を提出できます。
CISA、バイデン政権時代のSBOM最小要件ガイドラインの変更を求める
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、ソフトウェア部品表(SBOM)に必要な最小要素を記載した政府ガイドラインの改訂版について、コメント募集を開始しました。
SBOMとは、組織または特定の事業部門が使用しているすべてのソフトウェアパッケージとその依存関係、すなわちリストされたソフトウェアが構築されている他の要素(オープンソースの部品を含む)を記載した機械可読な文書です。
2021年、米国国家電気通信情報局(NTIA)は、連邦機関や米国企業が独自のSBOMを作成するのを支援するために、2021年NTIA SBOM最小要素という文書を公開しました。この文書は、バイデン大統領による2021年5月の国家サイバーセキュリティ強化に関する大統領令(EO 14028)に基づいて作成されました。
2022年9月、ホワイトハウスは、米国政府にソフトウェアを提供するベンダーにSBOMの提供を義務付ける新たな大統領令を発表しました。
この目的は、米国政府にソフトウェアやサービスを提供するサプライチェーン上のすべての企業が、サイバー攻撃から十分に保護されていることを確保することでした。
当時、この決定は論争を呼び、サイバーセキュリティ業界団体の連合が公開書簡を発表し、エコシステムが十分に成熟していないことを理由に、米国議会に防衛請負業者へのSBOM要件の延期を求めました。
2022年9月、行政管理予算局(OMB)は、覚書M-22-18「安全なソフトウェア開発慣行によるソフトウェアサプライチェーンのセキュリティ強化」を発行し、CISAが2021年NTIA SBOM最小要素の後継ガイダンスを作成することを示しました。
2021年から2025年にかけてのSBOMの状況変化
最近の動きは、トランプ政権下でのSBOM推進戦略の変更を示唆しているようです。
まず、2021年8月からCISAのSBOM活動を主導してきた最も積極的なSBOM推進者の一人であるアラン・フリードマン氏が、2025年7月末に同庁を退職しました。
8月初旬には、オープンソースセキュリティ財団(OpenSSF)が、CISAのSBOMワーキンググループも解散し、同財団が「バトンを引き継ぎ」後継グループを立ち上げると発表しました。
しかし、現時点でCISAはSBOMワーキンググループの解散を公式には認めていません。
CISAはまた、「SBOMツールの進化やSBOM実装の成熟度向上を反映する」ため、2021年NTIA SBOM最小要素の改訂版を公開する意向も発表しています。
「例えば、SBOMツールの分野はSBOMの生成だけでなく、共有、分析、管理などの機能にも拡大しています」とCISAは説明しています。
SBOMコミュニティは2021年以降大きく成長し、新たな関係者の参入や、SBOMの生成・導入の開発と改善におけるオープンソースコミュニティの参加が強化されています。
CISAは現在、新たなガイドライン策定のための意見募集を行っており、分野の専門家、学術専門家、産業界、市民団体、関連する経済専門家などを含むすべての一般市民の参加を歓迎すると述べています。
関心のある方は2025年10月3日までに意見を提出できます。
翻訳元: https://www.infosecurity-magazine.com/news/cisa-seeks-sbom-requirements-change/
Published in infosecurity-magazine-com