出典:Volodymyr Melnyk(Alamy Stock Photo経由)
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、ソフトウェア部品表(SBOM)に関する連邦機関向けの新しいガイドラインを最近発表しました。これらのルールは、ソフトウェアおよびコンポーネントベンダー間のさらなる透明性を促進することを目的としています。専門家たちは新ルールが前向きな一歩であると認めつつも、現代のソフトウェアサプライチェーンが直面している深刻な問題を見落としているのではないかと懸念しています。
2021年に連邦最低限SBOMガイドラインが最初に発表されて以来、このアイデアは情報セキュリティ分野で議論されてきました。素晴らしいコンセプトではあるものの、現実世界では実現が難しいとされてきました。ベンダー側は、規制が過重であると反発してきました。そしてその後の数年間、連邦機関が先導する形で、SBOMはさまざまな程度で受け入れられてきました。SBOMの課題は、提供される情報と、サイバーセキュリティチームがそれを運用に活かす能力とのギャップを埋めることでした。
CISAは最近、2025年版SBOMガイドラインの草案を連邦機関向けに発表しました。専門家たちは前向きな方向に進んでいると期待を寄せる一方で、新ガイダンスの一部についてサイバーセキュリティ業界全体に懐疑的な見方があることも認めています。
「前向きな動きはあると思いますが、私が話す多くの人々は、実装面や標準化、情報共有について懸念を持っています」と、Radianのエグゼクティブバイスプレジデント兼最高情報セキュリティ責任者(CISO)であるDonna Ross氏は述べています。
新ルールでは、SBOMにコンポーネントのハッシュやライセンス、SBOMを作成した特定のツール名、タイムスタンプ、その他のソフトウェア識別子などの情報を含めることが求められています。これにより、防御側は自社のソフトウェアサプライチェーン内の各コンポーネントの状況を把握できるようになります。しかしRoss氏は、適切な文脈なしにそのデータを提供することについて、サイバー実務者の間で懸念があると述べています。
CISAはSBOMルールの更新について追加コメントはしていませんが、現在の草案は10月3日までパブリックコメントを受け付けていると付け加えています。
新SBOMガイダンスがデータ検証の課題を解決
CISAはさらに、SBOMをSPDX(Software Package Data eXchange)やCycloneDXなどの機械可読フォーマットで作成することを義務付けました。これは自動化を促進するためであり、新SBOMガイドラインの著者の一人でDigiCertのソフトウェアトラストディレクターであるDave Roche氏は、大きな前進だと述べています。Roche氏は、コンポーネントの暗号学的ハッシュを追加で要求することで、組織内でSBOMを運用化する上で大きな障壁となっていた問題が解決されると付け加えました。従来は、SBOMが生成された後にソフトウェアが改ざんされたかどうかを判別する方法がありませんでした。
「コンポーネントハッシュを必須とすることで、SBOMは各要素を明確に識別でき、元の作成者の記録と照合して検証できるようになりました」とRoche氏は述べています。「これは歓迎すべき進歩であり、これまで欠けていた否認できない信頼性を生み出し、運用上不可欠なものです。」
Roche氏はまた、SBOMが「本当に運用可能」になるためには、脆弱性との統合や自動化のさらなる向上が必要だと認めています。
SBOMをめぐる議論は、4年経った今も同じ場所に戻ってきたように見えます。しっかりしたコンセプトであり、徐々に改善されてはいるものの、サイバーセキュリティチームのリソースがますます制約される現実を考えると、依然として実用的とは言えません。
「実務者が最も避けたいのは、明確なユースケースがないまま、単なるチェックボックスが増えることです。これは管理面で過度な負担となります」とRoss氏は述べています。「とはいえ、業界の支持は前向きですが慎重な楽観視にとどまっており、自動化、標準化、インセンティブの整合、複雑性の低減、規制と実現可能性のバランスに取り組む必要があります。」
Ross氏は、CISAからのより実践的なガイダンス、業界別のガイダンスやプレイブック、信頼・情報共有モデルなどが歓迎されるだろうと付け加えました。
今回のアップデート作成に直接関わったRoche氏は、同僚からも、施行に関するより具体的な説明や、AIやSaaSのユースケースへのさらなる対応、SBOMの検証に役立つツールの支援など、より具体的な要望が寄せられていると述べています。
「SBOMは基盤的なものですが」と彼は付け加えます。「本当にリスクを減らすためには、実用的なインテリジェンスとともに運用化されなければなりません。」