米国および14の同盟国の政府機関は、ソフトウェア部品表(SBOM)の広範な導入の利点に関する新たなガイダンスを発表しました。
SBOMガイダンスの共通ビジョン(PDF)は、SBOMの生成、分析、共有をセキュリティプロセスや実践に組み込むことの利点について情報を提供しており、SBOMの導入がセキュリティを向上させ、リスクやコストを削減すると主張しています。
SBOMは、ソフトウェアおよびその構成要素、モジュール、ライブラリの出所やセキュリティに関する詳細を提供することで、組織がソフトウェアサプライチェーンにおけるセキュリティリスクを理解し、対処するのに役立つと、発表機関は述べています。
「これらのリスクに対処するための第一歩は、透明性を高めることです。これは特に、重要インフラや公共の安全に影響を与える重要な機能を担うシステムのソフトウェアにとって重要です」とガイダンスには記されています。
SBOMは、ソフトウェア内のさまざまな構成要素の詳細や関係性を正式に記録するものとして設計されており、各構成要素の可視性を提供することから、ソフトウェアサプライチェーンのセキュリティ確保における重要な要素と考えられています。
「SBOMは、ソフトウェアの依存関係に関する情報を文書化することで、組織全体のソフトウェアサプライチェーンやエンタープライズシステム全体の可視性を高めます。組織はこの透明性を活用して、リスク管理、特に脆弱性管理やサプライチェーン管理の有効性を高め、ソフトウェア開発プロセスを改善し、ライセンス管理を支援することができます」と各機関は述べています。
SBOMは、広く利用されているフォーマットで機械処理可能であるべきであり、下流に共有することで、脆弱性やライセンス上の懸念など新たなリスクへの対応をより迅速かつ効率的に行えるようにすべきだと指摘しています。
「サプライチェーン上のすべての関係者がソフトウェアのSBOMを持っていれば、脆弱性の特定や対応にかかる時間を大幅に短縮できます。SBOMがなければ、各関係者は自分のソフトウェアに影響を与える脆弱性の通知を上流のサプライヤーに依存せざるを得ません」とガイダンスには記されています。
広告。スクロールして続きをお読みください。
各機関によると、ソフトウェア開発プロセス全体でSBOMを導入することで、構成要素の管理コスト、脆弱性対応時のダウンタイム、廃止された構成要素の問題特定にかかる時間が削減されます。
導入後のSBOM監視は、時間の経過とともに脆弱となった構成要素を特定し、迅速なパッチ適用を可能にし、ライセンスに従ってソフトウェア構成要素を利用するためのライセンス情報の特定にも役立ちます。
「ソフトウェアエコシステム全体の製造者、選定者、運用者は、SBOMデータによる透明性の向上から恩恵を受けます。組織は、ソフトウェア製造者と選定者、選定者と運用者、あるいはそれらの役割を同時に担う場合もあります」とガイダンスには記されています。
各製品ごとにSBOMを作成・維持することは、ソフトウェアメーカーや製造者がセキュア・バイ・デザインの原則を採用するのに役立つと、発表機関は述べています。自動化は、SBOMの生成、管理、活用の中核的要素と考えられています。
「より高いソフトウェアの透明性は、ソフトウェアの作成や利用における意思決定の質を直接的に向上させます。発表組織は、ソフトウェアサプライチェーンのセキュリティ確保におけるSBOMの価値を理解しており、ソフトウェア開発におけるさらなる透明性の必要性を認識しています」と各機関は述べています。
関連記事: CISA、更新されたSBOMガイダンスに対するパブリックコメントを募集
関連記事: 英国の新フレームワーク、ベンダーにSBOM・パッチ適用・デフォルトMFAを要求
関連記事: 中国のSalt Typhoon、世界中の重要インフラを長年にわたりハッキング
関連記事: 米政府、サイバー脅威対策で創造的な取り組みを実施
翻訳元: https://www.securityweek.com/us-allies-push-for-sboms-to-bolster-cybersecurity/