米国サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)は、ソフトウェア部品表(SBOM)に必要な最小要素を列挙した政府ガイドラインの更新版について、意見募集(コメント要請)を発出した。
SBOMとは、組織(または特定の事業部門)が使用するすべてのソフトウェアパッケージと、それらの依存関係、すなわち列挙されたソフトウェアが基盤としている他の要素(オープンソースの部品を含む)を一覧化した、機械可読な文書である。
2021年、米国の国家電気通信情報局(NTIA)は、連邦機関および米国企業が自らのSBOMを作成するのを支援するため、2021 NTIA SBOM Minimum Elementsという文書を公表した。この文書は、バイデン大統領が2021年5月に発令した「国家のサイバーセキュリティ強化に関する大統領令」(EO 14028)に基づくものである。
2022年9月、ホワイトハウスは、米国政府に供給するソフトウェアベンダーに対しSBOMの提供を求める新たな大統領令を公表した。
目的は、米国政府にソフトウェアおよびサービスを提供するサプライチェーン上のすべての企業が、サイバー攻撃に対して十分に保護されていることを確保することだった。
当時、この決定は論争を呼び、サイバーセキュリティ業界団体の連合が公開書簡を発表し、エコシステムが十分に成熟していないとして、防衛請負業者に対するSBOM要件の延期を米国議会に求めた。
2022年9月、行政管理予算局(OMB)は、メモランダムM-22-18「安全なソフトウェア開発慣行を通じたソフトウェアサプライチェーンのセキュリティ強化」を発出し、CISAが2021 NTIA SBOM Minimum Elementsの後継ガイダンスを作成することを示した。
2021年から2025年にかけてのSBOMを取り巻く状況の変化
最近の動きは、トランプ政権下におけるSBOM推進戦略の変更を示唆しているように見える。
まず、最も積極的なSBOM推進者の一人で、2021年8月以降CISAのSBOM取り組みを主導してきたアラン・フリードマンが、2025年7月末に同庁を離れた。
8月上旬には、Open Source Security Foundation(OpenSSF)が、CISAのSBOMワーキンググループも閉鎖され、同財団が「たいまつを引き継ぎ」、後継組織を立ち上げると発表した。
しかし現時点で、CISAはCISAのSBOMワーキンググループの閉鎖を公に確認していない。
CISAはまた、2021 NTIA SBOM Minimum Elementsの更新版を立ち上げ、「SBOMツールの改善とSBOM実装の成熟度向上を反映」させる意向だと発表している。
「例えば、SBOMツールの状況は、SBOMの生成にとどまらず、共有、分析、管理などの機能を含むまでに拡大している」とCISAは説明した。
SBOMコミュニティは2021年以降大きく成長しており、新たな関係者が加わるとともに、SBOMの生成と採用の開発・改善においてオープンソースコミュニティの参加が一層強まっている。
CISAは現在、同庁が新たなガイドラインを策定するのを支援するため一般からの参加を求めており、当該分野の専門家、学術専門家、産業界、公益団体、関連する経済的専門知識を有する者などを含む(ただしこれらに限られない)すべての一般市民にコメントを呼びかけている。
関心のある関係者は、2025年10月3日までに意見を提出できる。
翻訳元: https://www.infosecurity-magazine.com/news/cisa-seeks-sbom-requirements-change/
