TokyoBlackHatNews

securityweek.com 4分で読了

SBOMの先駆者アラン・フリードマン氏、サプライチェーンの可視化推進のためNetRiseに参加

CISAでSBOMの父と称されることも多いアラン・フリードマン博士が、NetRiseの戦略アドバイザーとして参加します。

CISAは現在の政府機関閉鎖の影響を深刻に受けており(2025年10月には約3分の2の職員が一時帰休となった)、このことはフリードマン氏が2025年8月に同庁を離れる決断には影響しませんでした。

本人の言葉を借りれば、「私はまだ何かを構築したいと考えており、その多くはCISAの職務範囲外にあると感じました。」

SBOM(ソフトウェア部品表)は、ソフトウェアを構築する際に使用されるコンポーネントや依存関係を機械可読な形で一覧化したもので、ソフトウェアサプライチェーンの可視性を高めます。SBOMはソフトウェア開発者が作成し、ソフトウェア利用者がその活用方法を決定します。サプライチェーンセキュリティ企業であるNetRiseは、クライアントがサードパーティ製ソフトウェアコンポーネントに潜むサプライチェーン脅威からより安全を確保できるよう、SBOMに注目しています。

Image

SBOMが価値を持つためには、正確に作成され、賢く活用される必要があります。この「プロジェクト」は、2021年5月に発令されたバイデン大統領令14028によって後押しされました。これにより、米国政府に販売されるすべてのソフトウェアにはSBOMの添付が義務付けられました。しかし、この後押しを除けば、SBOMの作成を法的に義務付ける要件はなく、自動的に利用可能であるという前提もありません。

SBOMの父とサプライチェーンセキュリティに特化した企業の提携は自然な流れであり、SBOMの普及とより賢明な活用につながる可能性があります。

SBOMとAIの比較

AIの台頭とその可能性の拡大によって、企業がSBOMの重要性を軽視する危険性があります。AIはすでに脅威ハンティングに活用されており、その用途は今後も拡大していくでしょう。「AIがどのような脅威がどこにあるか教えてくれるなら、なぜSBOMが必要なのか?」という疑問も出てきます。

「それが本当なら素晴らしいですが、現時点ではAIにはできません。AIはサプライチェーンの可視化に役立ちますが、すべての問題を解決できるわけではありません」とNetRiseの共同創業者兼CEO、トーマス・ペース氏はコメントしています。

フリードマン氏も「SBOMは依然として必要です。AIの普及が進む中でも、SBOMは最後まで置き換えられないものの一つになるでしょう。AIは多くのことができますが、消費するデータに依存しており、そのデータを提供するのがSBOMなのです」と付け加えました。

ペース氏はさらにこう説明します。「例を挙げましょう。スタンドアロンのWindowsアプリケーションにlog4jが含まれている場合と、Ciscoのスイッチにも同じくlog4jが含まれている場合があります。アーティファクトを抽出するには、それぞれの資産にlog4jが含まれているかを評価し、判断する必要があり、そのためには2つの異なるプロセスが必要です。Windowsアプリケーションでlog4jを見つけても、Ciscoスイッチで見つけることはできません。これがポイントです。すべての抽出を終え、すべてのコンポーネントをSBOMで特定した後、AIの出番となります。」

彼は続けます。「フリードマン氏の指摘の通り、LLM(大規模言語モデル)にそのコンポーネントがどこにあり、何に含まれ、どのように動作するべきかという文脈を与えることができます。そうすることで、LLMにlog4jコンポーネントの実際のリスクを説明させることができます。そしてLLMは『この構成に基づけば、あなたにとって問題となる可能性は非常に低いです』(あるいはその逆)と答えるでしょう。」

つまり現時点では、AIに情報を与えるためにSBOMが必要であり、AIはソフトウェア利用者が何をすべきか理解するのに役立ちます。カーステン・デイビス氏(ユニリーバ元CISO、エスティローダーSVP兼CISO、バークレイズMD兼グループCSO、国防総省CIO候補)は、2025年9月18日の上院軍事委員会の承認公聴会で「承認されれば、契約でSBOMを収集するだけでなく、それを分析し、結果に基づいて行動できる人材・プロセス・ツールの開発も推進します。SBOMは安全な開発、自動コードスキャン、継続的モニタリングなどの他の保証手法と統合し、ソフトウェア集約型システムのリスク低減と信頼性向上を図るべきです」と述べています。

SBOMとその機能に関する深い知見を、AIの力を借りてソフトウェアサプライチェーンのセキュリティを専門とする企業に持ち込むことで、フリードマン氏とNetRiseは、政府の国防総省CIO候補が描くSBOMとAIの連携を実現しつつあります。

「SBOMや関連データの必要性について理解は進みましたが、質の高いツールも必要です。NetRiseは、包括的かつ正確なコンポーネントの特定、隠れたリスクの発見、そのリスクの修正に向けたアクションの実現に向けてリードしています」とフリードマン氏は述べています。

NetRiseは2025年4月のシリーズA資金調達ラウンドで1,000万ドルを調達し、これまでの総調達額は約2,500万ドルとなりました。

翻訳元: https://www.securityweek.com/sbom-pioneer-allan-friedman-joins-netrise-to-advance-supply-chain-visibility/

ソース: securityweek.com
#AI in Cybersecurity #Allan Friedman #Biden EO 14028 #CISA #Cyber Risk Management #NetRise #SBOM #Software Supply Chain Security #software transparency #Software Vulnerabilities

関連記事

トランプ大統領、最先端AIモデルの国家安全保障リスク審査を求める大統領令に署名

サイバーセキュリティの深刻化する危機に関する2つの新レポート、異なる見解を提示

スクープ:たった1行のコードが、Microsoft Androidアプリ数十億ダウンロードをリスクにさらした経緯