米国と14の同盟国、ソフトウェア部品表に関する共同ガイダンスを発表

画期的な協力として、15カ国のサイバーセキュリティおよび情報機関がソフトウェア部品表（SBOM）に関する共通のビジョンで足並みをそろえ、世界のサプライチェーン・セキュリティを強化するための新たな共同ガイダンスを発表した。

「サイバーセキュリティのためのソフトウェア部品表（SBOM）に関する共通のビジョン」と題された同文書は、9月3日に公表された。

これは、米国サイバーセキュリティ・インフラストラクチャ安全保障庁（CISA）およびNSAを含む、15カ国の21の政府機関により署名された。

SBOMに関連する主要な用語と概念を概説しており、SBOMとは何かという共通定義、SBOMの価値提案、そして実装方法などが含まれている。

SBOMの作成者、エンドユーザー（文書内では「選定者（choosers）」と呼称）、運用者、ならびに各国のサイバーセキュリティ組織の役割を説明している。

さらに、このガイダンスは、分野や国境を越えたSBOMの広範な採用、複雑さとコストを削減するための技術実装の調和、そしてより良いリスク管理のためにSBOMをセキュリティ・ワークフローへ統合することを促している。

「この節目は、デジタル・サプライチェーンを保護するうえでソフトウェアの透明性が重要であるという国際的なコンセンサスが高まっていることを反映している」と、CISAの広報担当者はコメントした。

署名者の一人であるチェコ国家サイバー・情報セキュリティ庁（NÚKIB）のルカシュ・キントル長官は、組織が直面しなければならないソフトウェアの複雑性が増していることを強調した。

「今日のソフトウェアは、さまざまなソースやライブラリに由来する数百のコンポーネントで構成されていることが多い。SBOMは、この複雑な環境に不可欠な透明性をもたらし、ソフトウェアが何で構成されているかを明確に示す。私はSBOMを、真に安全でレジリエントなソフトウェアを—設計段階から—作り上げるための重要な一歩だと考えている」と同氏は述べた。

日本の経済産業省（METI）商務情報政策局サイバーセキュリティ課長の武尾信隆氏は次のように述べた。「このガイドラインを通じてSBOMの重要性が国際的に認識されていることを喜ばしく思います。昨年、日本はSBOMガイダンス2.0を公表しました。今後も関係するステークホルダーの間でSBOMの認知向上を図るとともに、本テーマに関する国際的な議論にも積極的に貢献していきます。」 

SBOMの調和と法制化に向けて

2021年8月から2025年7月までCISAのSBOMの取り組みを主導したアラン・フリードマン氏は、この共同ガイダンスの公表を歓迎した。

LinkedInへの投稿で同氏は、これは「CISAが国際文書でこれまでに参加した組織数として最大」だと強調した。

同氏は「ここに画期的な内容があるわけではないが、これほど多くの国から幅広い意見が寄せられたのは素晴らしい」と付け加えたうえで、技術実装の調和を含め、さらなるステップが依然として必要だと示唆した。

「実装がばらばらであれば、SBOMの広範な採用や持続可能な実装の妨げになり得る。SBOMに対する足並みのそろった協調的なアプローチは、コストと複雑性を低減しつつ有効性を高める」と同氏は述べた。

Infosecurityの取材に対し、Anchoreのセキュリティ担当VPでありOpenSSFの「SBOM Everywhere」ワーキンググループのリーダーであるジョシュ・ブレッサーズ氏は、この取り組みを「素晴らしい」イニシアチブだと述べた。

• オーストラリア信号局のオーストラリア・サイバーセキュリティ・センター（ASDのACSC）
• カナダ・サイバーセキュリティ・センター（Cyber Centre）
• フランスのサイバーセキュリティ庁（ANSSI）
• ドイツ連邦情報セキュリティ庁（BSI）
• インド・コンピュータ緊急対応チーム（CERT-In）
• イタリア国家サイバーセキュリティ庁（ACN）
• 日本の内閣サイバーセキュリティセンター（NCO）
• オランダ国家サイバーセキュリティセンター（NCSC-NL）
• ニュージーランド国家サイバーセキュリティセンター（NCSC-NZ）
• ポーランドの研究・学術コンピュータネットワーク（NASK）
• シンガポール・サイバーセキュリティ庁（CSA）
• スロバキア国家安全保障局（NBÚ）
• 韓国の国家情報院／国家サイバーセキュリティセンター（NIS/NCSC）および韓国インターネット振興院（KISA）