米国の3つの政府機関が、連邦政府の請負業者に対する新たな規則を提案した。これにより、契約の履行に用いられるあらゆるソフトウェアについて、ソフトウェア部品表(SBOM)の作成および維持が求められることになる。
国防総省(DoD)、NASA、一般調達局(GSA)によって発出されたこの提案は、2021年5月のバイデン大統領の大統領令 、とりわけインシデント対応の強化を目的とした部分への対応と見ることができる。
これは、新たに提案された規則:「サイバー脅威およびインシデントの報告と情報共有(FAR Case 2021-017)」の一部である。
SBOMとは、オープンソースまたはプロプライエタリなソフトウェアを構成するすべてのコンポーネントの公式な棚卸しであり、それらの間に存在する、しばしば複雑な階層的関係も含む。潜在的な脆弱性の可視性を高め、既知の欠陥の修正を加速することで、ソフトウェア・サプライチェーンのリスクを低減するための重要な前進と見なされている。
提案文では、「SBOMはインシデント対応において重要になり得る。既知の脆弱性の発生源を迅速に特定できるからだ」と記されている。
ただし、現時点ではまだ何も確定していない。実際、DoD、NASA、GSAは次の質問について意見を求めている。
- SBOMは請負業者からどのように収集すべきか。SBOMに含まれる情報にはどのような保護が必要か。
- 適切なセキュリティを確保するため、請負業者にSBOMの提供を求める要件の適切な範囲について、政府はどのように考えるべきか。
- 請負業者はSBOMの作成においてどのような課題に直面するか。ソフトウェア再販業者に固有の課題は何か。レガシーソフトウェアに関してどのような課題があるか。
- 新しいビルドやメジャーリリースでの変更に基づき、SBOMを更新しなければならない時期を評価するための適切な手段は何か。
- 組み込みソフトウェアの脆弱性が発見され次第SBOMを監視する際、政府と請負業者の間での適切なバランスは何か。
Endor Labsの最高セキュリティアドバイザーであり、CISAのサイバー・イノベーション・フェローでもあるクリス・ヒューズ氏は、この提案は「広範で影響力のある波及効果」をもたらし、「政府が透明性を追求するためにどこまで踏み込む意思があるのかを示している」と主張した。
政府は事実上、請負業者に対し、すべてのサードパーティ製ソフトウェア供給元からSBOMを要求するよう迫ることができるが、これにはいくつかの課題が伴う可能性がある、と同氏は付け加えた。
「注目すべきは、この規則がSBOMに対し、[米国電気通信情報局] NTIAが定義した『最小要素』で示された基準に整合することを求めている点だ。調査では、オープンソースプロジェクトなどのサンプルソースから入手可能なSBOMの大半が、これらの最小要件を満たしていないことが分かっている」とヒューズ氏は続けた。
「ソフトウェア供給者および/または政府請負業者は、多くがまだ準備も対応能力も整っていない段階で成果物(SBOM)を提供しなければならないだけでなく、これまで業界全体で不足しているように見える成熟度の水準も満たさなければならない。」
翻訳元: https://www.infosecurity-magazine.com/news/us-government-proposes-sbom-rules/
