ページの本文へ

Hitachi

日立ソリューションズ ソフトウェア部品管理ソリューション

OSS管理ブログ

Linux FoundationのSBOMレポートから読み取る6つのポイント

  • 2022-06-01
  • 2022-06-01
Linux FoundationのSBOMレポートから読み取る6つのポイント

この内容は、FOSSA社のブログ記事を元に日本語に翻訳・再構成した内容となっております。

はじめに

2022年1月、Linux Foundationは「The State of Software Bill of Materials (SBOM) and Cybersecurity Readiness 」を発表しました。2021年第3四半期に実施された調査に基づいて作成されたこのレポートには、組織がどのように、そしてなぜソフトウェア部品表(SBOM)を作成しているかについてのデータが含まれています。

回答者への質問としては、オープンソースソフトウェア(OSS)に対する姿勢、バイデン政権のサイバーセキュリティに関する大統領令の影響、ソフトウェアサプライチェーンを保護するための活動など、SBOMに関するさまざまなトピックが含まれています。

また本レポートは全世界412の組織から得た調査結果であり、あらゆる規模(従業員が数人から15,000人以上)、さまざまな業種(25%がIT業界、12%が自動車、11%がヘルスケア、7%が製造業)の企業が参加しています。

本ブログ記事では、サプライチェーンセキュリティへの取り組み、SBOMのメリットなど、レポートから得られた6つの重要なポイントについてご紹介します。

1. サイバーセキュリティに関する大統領令がもたらした影響

2021年5月、バイデン政権は「Executive Order on Improving America's Cybersecurity(米国のサイバーセキュリティの向上に関する大統領令)」を発表しました。この大統領令の主要条項の1つは、米国連邦政府向けに販売を行う組織に対し、すべての製品にSBOMの作成と添付を義務付けるものでした。

この要件が適用されるのは世界の企業の一部に過ぎないものの、その影響は比較的広範囲に及んでいます。報告書によると、調査回答者の80%以上がこの大統領令を認識しており、77%がこの大統領令への対応を検討していることが明らかになっています。この調査結果に基づき、報告書では、大統領令が目的のいくつかにおいてほぼ成功していると結論づけています。

The high level of awareness (of the executive order) combined with the 77% who were considering changes (as a result of it) suggest that the executive order is achieving its intended results, which is to drive improvement in cybersecurity across the public and private sectors.
(大統領令への)高い意識と(結果として)対応を検討している組織が77%存在することを考えれば、大統領令は官民問わずサイバーセキュリティの向上を促すという意図した結果を達成していることがうかがえる。

2. ソフトウェアサプライチェーンのセキュリティには複数のソリューションが必要

Linux Foundationのレポートでは、今日のセキュリティチームおよび開発チームが直面している重要な問題の1つである、ソフトウェアサプライチェーンをどのように保護するかについても取り上げられています。調査では、サプライチェーンのセキュリティにおいて重要な役割を果たす活動についての回答が求められました。

その結果、「最新のソフトウェアサプライチェーンを保護するためには、プロセスとツールを組み合わせたチーム全体の包括的な取り組みが必要である」という核心に迫る答えが得られました。

具体的には「key activities for securing the software supply chain(ソフトウェアサプライチェーンを保護するための重要な活動)」として、以下の項目が挙げられています。

  • ロータッチで拡張可能な脆弱性レポートシステム
  • SBOMの活用
  • 開発者とリリース元による二要素認証の使用義務化
  • メモリーセーフなプログラミング言語によるメモリーセーフなアプリケーションの開発
  • 特定のソフトウェア製品における世界的に一意な識別

その他の回答としては、静的および動的なアプリケーションセキュリティツール(ソフトウェア構成分析など)、ソースコードのピアレビュー、暗号署名の使用、再現性のあるビルドの使用による検証などがありました。

3. セキュリティだけがSBOMの利点ではない

SBOMの主要なユースケースはソフトウェアサプライチェーンの脅威を可視化することですが、それだけに留まりません。SBOMは、さまざまなソフトウェアコンポーネント間の関係、オープンソースライセンスデータ、パッケージの出所などを文書化するもので、これらの情報により企業はさまざまな取り組みに役立つ実用的なデータを手に入れることができます。

調査の回答者は、SBOMの作成と使用の両方にいくつかの利点を挙げています。SBOMを作成することの利点は、以下のとおりです。

  • 回答者の51%が、SBOMの作成はアプリケーションにおけるコンポーネントの依存関係を理解するのに役立つと回答しています。
  • 49%が、SBOMを作成することでコンポーネントの脆弱性を監視することが容易になると回答しています。
  • 44%が、SBOMの作成はOSSライセンスのコンプライアンス管理に役立つと回答しています。

SBOMを使用することの利点として、以下のような内容が報告されています。

  • 回答者の53%が、SBOMはレポートとコンプライアンスの要件に対応するのに役立つと回答しています。
  • 53%が、SBOMはリスクベースの意思決定を改善すると回答しています。
  • 49%が、SBOMの脆弱性レポートは組織がsecurity exposure(セキュリティ露出)をより迅速に理解するのに役立つと回答しています。

4. SBOMの導入はまだ始まったばかり

Linux Foundationの調査では、SBOMの認知度が高まっていることが明らかになりました。しかし、多くの組織がSBOMの導入を始めてからまだ日が浅いという事実も浮き彫りになっています。

例えば、回答者のうち、現在SBOMを使用していると答えたのはわずか46%でした。また42%の回答者は今後6から24ヵ月の間にSBOMの使用を開始する予定であると回答しています。

またこの調査では、SBOMの将来について明確でないいくつかの領域についても明らかになりました。回答者の40%は、SBOMに対する業界の取り組みについて「不明確」であると答え、39%は、SBOMが正確に何を含むべきかについてコンセンサスが得られているかどうか疑問であると答えました。

回答者の大多数が、より強力な業界コンセンサスがあればこれらの懸念に対処できると考えています。具体的には以下のとおりです。

  • 回答者の62%が、DevOpsプロセスへのSBOMの統合について、よりよい業界コンセンサスを求めています。
  • 58%が、SBOMをリスクおよびコンプライアンスプロセスに統合することについて、より強力なコンセンサスを求めています。
  • 53%が、SBOMがどのように改善と進化を続けるかについてのコンセンサスを求めています。

5. 機械可読性と依存性の深さがSBOMの最大のニーズ

回答者は、自身にとって最大の「SBOMのニーズ」(効果的なSBOMプログラムにとって重要な要素とプロセス)が何なのかについて質問されました。これには、依存性の深さ、配信形式、生成頻度などの項目が含まれました。

このセクションの各質問では、回答者には3つの選択肢が与えられました。以下はいくつかのトピックに関する回答です。

機械可読性:最も多かった回答は「SBOMは、SPDX/CycloneDX/SWID Tagなどの基本的な機械可読フォーマットで生成されるべき」というものでした。
※参考:2番目の回答は「SBOMは"すべて"の機械可読フォーマットで生成されるべき」であり、3番目が「単純なCSVで十分である」というものでした。

依存性の深さ:最も多かった回答は「SBOMはすべての主要コンポーネントを間接的な依存関係を含めて明確にすべき(未知であることを含む)」というものでした。
※参考:2番目の回答は「すべての主要コンポーネントを間接的な依存関係を含めて明確にすべき(未知であることを含まない)」というもので、3番目は「すべての主要コンポーネントについて直接的な依存関係(未知であることを含む)で十分である」というものでした。

生成頻度:最も多かった回答は、コードの更新や変更のたびに新しいSBOMを生成すべきであるというものでした。
※参考:2番目の回答は「新しいSBOMはコードの更新や変更のたびに生成されるべきで、古いバージョンは参考のために保存されるべき」というもので、3番目は「SBOMは購入時や要求時にのみ生成する必要がある」というものでした。

6. オープンソースはあらゆる場所に存在する

近年さまざまなレポートにおいて、OSSがアプリケーション開発の至るところに存在することが強調されています。今回のLinux Foundationの調査も同様の結果となっています。本レポートの具体的な数値は、なんと調査回答者の98%が、所属組織が少なくとも何らかのOSSを使用していると回答しています。

また回答者の40%は、組織がOSSの使用に一定の条件を課していると回答しています。最も多く挙げられた条件は、コードのパフォーマンスの検証、コードのセキュリティの検証、そしてコードのサポートの検証でした。

結論

Linux FoundationのSBOMとサイバーセキュリティに関するレポートには、バイデン政権のサイバーセキュリティに関する大統領令の影響、SBOMに対する態度、サプライチェーンセキュリティにおける最も重要な活動などに関する新しい調査結果が含まれています。全体として、この結果は業界にとって有望なものです。組織がソフトウェアのサプライチェーンセキュリティを引き続き優先していることは明らかであり、多くの組織がSBOMの対応に関して進行中(または計画中)となっています。

しかし、改善の余地が数多くあることも明らかです。特に、NTIAのSBOM最低必要要素を超えてSBOM仕様を管理する業界標準の作成と採用において改善の余地がありそうです。

森下大輔

森下大輔

OSS管理エンジニア。ソフトウェア開発支援事業に従事。主にオープンソース(OSS)の管理に関する業務を担当。
この作者の記事をみる
オープンソース管理ソリューション
タグ一覧
新着記事
    rss RSS
    資料請求・お問い合わせ
    資料ダウンロード よくあるご質問

    ソリューションメニュー

    SBOM

    OSS管理

    管理ツール