米国と14か国の同盟国がソフトウェア部品表（SBOM）に関する共同ガイダンスを発表

画期的な協力のもと、15か国のサイバーセキュリティおよび情報機関がソフトウェア部品表（SBOM）に関する共通ビジョンで一致し、グローバルなサプライチェーンセキュリティを強化するための新たな共同ガイダンスを発表しました。

「サイバーセキュリティのためのソフトウェア部品表（SBOM）に関する共通ビジョン」と題されたこの文書は、9月3日に公開されました。

この文書には、米国サイバーセキュリティ・インフラセキュリティ庁（CISA）やNSAを含む15か国21の政府機関が署名しています。

SBOMに関する主要な用語や概念、SBOMの共通定義、SBOMの価値提案、そしてその実装方法について概要を示しています。

この文書では、SBOMの作成者、エンドユーザー（文書内では「選択者」と呼ばれています）、運用者、そして国家サイバーセキュリティ組織の役割について説明しています。

さらに、このガイダンスは、業界や国境を越えたSBOMの広範な導入、複雑さとコストを削減するための技術的実装の調和、リスク管理向上のためのセキュリティワークフローへのSBOM統合を推奨しています。

「このマイルストーンは、デジタルサプライチェーンのセキュリティ確保におけるソフトウェアの透明性の重要性について、国際的な合意が高まっていることを反映しています」とCISAの広報担当者はコメントしました。

署名機関の一つであるチェコ国家サイバー・情報セキュリティ庁（NÚKIB）のルカシュ・キントル長官は、組織が直面するソフトウェアの複雑化について強調しました。

「現在のソフトウェアは、多くの場合、さまざまなソースやライブラリから成る数百ものコンポーネントで構成されています。SBOMは、この複雑な環境に不可欠な透明性をもたらし、ソフトウェアが何で構成されているかを明確に示します。私は、SBOMが設計段階から真に安全で強靭なソフトウェアを作るための重要な一歩だと考えています」と述べました。

経済産業省商務情報政策局サイバーセキュリティ課の竹尾信孝課長は、「このガイドラインを通じてSBOMの重要性が国際的に認識されていることを嬉しく思います。昨年、日本はSBOMガイダンス2.0を発表しました。今後も関係者へのSBOMの認知向上を図るとともに、本件に関する国際的な議論にも積極的に貢献していきます」と述べました。

SBOMの調和と法制化に向けて

2021年8月から2025年7月までCISAのSBOM活動を主導したアラン・フリードマン氏は、この共同ガイダンスの発表を歓迎しました。

LinkedInの投稿で、彼は「CISAが国際文書でこれほど多くの組織と協力したのは過去最大です」と強調しました。

「ここに画期的な内容はありませんが、多くの国から幅広い意見が集まったことは素晴らしいことです」と付け加え、今後は技術的実装の調和など、さらなるステップが必要だと示唆しました。

「異なる実装は、SBOMの広範な導入や持続的な実装の妨げとなる可能性があります。SBOMに対する整合性のある協調的なアプローチは、効果を高めつつ、コストや複雑さを削減します」と述べました。

Infosecurityの取材に対し、Anchoreのセキュリティ担当副社長でOpenSSF SBOM Everywhereワーキンググループのリーダーであるジョシュ・ブレッサーズ氏は、この取り組みを「素晴らしい」イニシアチブだと述べました。

CISA、NSA、NÚKIB、経済産業省に加え、署名機関には以下が含まれます：

• オーストラリア信号局・オーストラリアサイバーセキュリティセンター（ASDのACSC）
• カナダサイバーセキュリティセンター（Cyber Centre）
• フランスサイバーセキュリティ庁（ANSSI）
• ドイツ連邦情報セキュリティ庁（BSI）
• インドコンピュータ緊急対応チーム（CERT-In）
• イタリア国家サイバーセキュリティ庁（ACN）
• 日本国家サイバーセキュリティ室（NCO）
• オランダ国家サイバーセキュリティセンター（NCSC-NL）
• ニュージーランド国家サイバーセキュリティセンター（NCSC-NZ）
• ポーランド研究・学術コンピュータネットワーク（NASK）
• シンガポールサイバーセキュリティ庁（CSA）
• スロバキア国家安全保障局（NBÚ）
• 韓国国家情報院／国家サイバーセキュリティセンター（NIS/NCSC）、韓国インターネット振興院（KISA）

さらに読む：CISA、バイデン時代のSBOM最小要件ガイドライン変更を模索