ソフトウェアサプライチェーン攻撃と規制強化がSBOM導入を加速
見出し
近年、ソフトウェアサプライチェーン攻撃が世界的に深刻化しており、開発に使われるオープンソースソフトウェア(OSS)のパッケージ自体が標的となるケースが増加しています。これに対し、各国はソフトウェアの構成を明らかにする仕組みの構築を急いでいます。
EUではサイバーレジリエンス法(CRA)がデジタル製品のセキュリティ要件を定め、対象製品にSBOMの整備を求める方向で進んでいます。日本国内でも、経済産業省が「ソフトウェア製品の脆弱性対応に関するセキュリティ評価制度(SCS評価制度)」の整備を進めており、ソフトウェアの安全性を客観的に評価・可視化する動きが本格化しています。こうした国内外の制度整備を背景に、SBOMは一部の先進的な取り組みから、多くの開発組織が向き合うべき実務課題へと位置づけを変えつつあると指摘されています。
SBOMは、ソフトウェアがどのような部品で構成されているかを一覧化したものです。これにより、新たな脆弱性が公表された際に、自社のソフトウェアが影響を受けるかを即座に判断できるようになります。2021年に発生したApache Log4jの脆弱性問題では、多くの組織がLog4jの使用状況を把握するのに膨大な時間を要した経験があり、SBOMは平時からの「棚卸し」の仕組みとして注目されています。
「作って終わり」のSBOM運用が抱える課題
一方で、SBOMの導入現場からは「作ったSBOMをどう使えばよいのか分からない」「生成したファイルが管理されずに放置されている」といった声も聞かれます。AndGoは、SBOMは生成した瞬間に価値が確定するものではなく、ソフトウェアの部品が日々更新されるため、一度作って満足し、その後の照合や更新が伴わなければ、現実と乖離した「過去のスナップショット」となり形骸化してしまうと警鐘を鳴らしています。
SBOMを「守りに活かす」ための3つの鍵
AndGoは、SBOMを実効性のあるものにするために、少なくとも以下の3点が不可欠であるとしています。
- SBOM生成の開発プロセスへの組み込み: リリースのたびに手作業で部品表を作成するのではなく、ビルドやCI/CDパイプラインの中で自動的に最新のSBOMが生成される状態が理想的です。
- 継続的な脆弱性情報との照合: 生成したSBOMを既知の脆弱性情報(CVE)と継続的に突き合わせ、影響範囲を即座に把握できる仕組みが必要です。これはソフトウェア構成分析(SCA)の役割であり、SBOMとSCAは一体の活動であると同社は指摘しています。
- 検出された脆弱性の優先度付け: 部品表と脆弱性情報を照合すると大量の検出結果が生まれますが、その多くは実際の利用環境では悪用されにくいものです。すべてを一律に扱わず、対応すべき本当に危険な脆弱性に絞り込む「アラートトリアージ」が不可欠であるとしています。
つまり、SBOMはそれ単体で完結するゴールではなく、生成(SCA)から照合、優先度付け、修正へと至る一連の脆弱性管理サイクルの入り口として位置づけられて初めて機能する、とAndGoは見解を示しています。
Aikido Securityによる統合的な脆弱性管理
AndGoは、Aikido Securityの国内代理店として、日本の開発組織がSBOMを形骸化させず、実効性のある脆弱性管理につなげられるよう支援しています。
Aikido Securityは、ソフトウェア構成分析(SCA/SBOM)を含むセキュリティ機能を一つのプラットフォームに統合したオールインワン型のサービスです。部品表の生成、その中身の脆弱性検出、優先度付け、修正までを分断せず一貫して扱える点が特徴です。特に、利用環境のコンテキストを踏まえて実害の小さい問題の優先度を下げるオートトリアージ(AutoTriage)機能は、SBOM照合で生じがちな大量の検出結果から、本当に対応すべき脆弱性を絞り込む上で有効であるとしています。
同社は、ツール導入だけでなく、SBOMの管理対象範囲、優先順位付け、取引先との共有方法といった運用設計も重要であるとし、日本語での導入支援・伴走サポートを通じて、セキュリティ対策を「使い切れる」形で提供することを目指しています。
活用が期待される企業・シーン
-
取引先や調達要件としてSBOMの提出を求められ始めた企業
-
オープンソースソフトウェアを多用するサービス開発企業
-
セキュリティ専任者がいない、または少人数の開発組織
今後の展開
AndGoは今後も、Aikido Securityの国内提供を充実させ、SBOMによる部品管理や脆弱性対策、開発者環境の保護といった、変化し続ける開発環境のリスクに対応する情報発信と支援を継続していく方針です。日本の開発組織が、人材やコストの制約にとらわれずに世界水準のセキュリティを実現できるよう、伴走を続けるとしています。
Aikido Securityについて
Aikido Security BVは、2022年にGhent, Belgiumで設立された企業です。静的コード解析(SAST)、ソフトウェア構成分析(SCA/SBOM)、クラウドセキュリティ態勢管理(CSPM)、コンテナスキャン、動的アプリケーションセキュリティテスト(DAST)に加え、AIエージェントによる自律型ペネトレーションテストや開発環境保護までを一つのプラットフォームに統合したオールインワン型セキュリティサービスを提供しています。世界では約5万社を超える組織に導入され、約10万人以上の開発者に利用されているということです。
株式会社AndGoについて
株式会社AndGoは、東京都台東区上野三丁目14-2に本社を置き、Aikido Securityの正規代理店として国内企業へのセキュリティサービスの提供および導入支援を行っています。世界水準のサービスを日本の開発現場で使い切れる形で提供することを通じて、国内のセキュリティ対策の底上げに取り組んでいます。
ソース元:
Aikido Security 製品紹介ページ
https://andgo.co.jp/aikido-security
