日立ソリューションズは12月12日、SBOM(Software Bill of Materials:ソフトウェア部品表)を一元管理し、各種リスクの検知と対応、ベストプラクティスの適用や情報分析・活用を行うプラットフォーム「SBOM管理サービス」を販売開始すると発表した。

各国で進むSBOMにまつわる法整備

日立ソリューションズ 執行役員 ITプラットフォーム事業部長 月折郷子氏は、SBOMに取り組むべき背景として、SBOMを前提としたサイバーセキュリティ対策の法整備が加速していることを挙げた。

  • 日立ソリューションズ 執行役員 ITプラットフォーム事業部長 月折郷子氏

米国では2021年に「国家のサイバーセキュリティの改善に関する大統領令」が出され、また、日本では経済産業省が今年に「ソフトウェア管理に向けたSBOM の導入に関する手引」を策定した。さらに、EUではCyber Resilience Act(サイバーレジリエンス法案)の施行が予定されている。

そうした中、日本企業として唯一、OpenChain(OSS<オープンソースソフトウェア>を正しく活用するための企業内プロセスを定めた規格)に公式パートナーとして参画していること、経済産業省によるSBOM 実証実験に唯一のアドバイザーとして参画していることから、月折氏は、同社がSBOM分野において有利な立ち位置にあることをアピールした。

SBOMが求められる背景

続いて、日立ソリューションズ ITプラットフォーム事業部 デジタルアクセラレーション本部 渡邊歩氏が、「SBOM管理サービス」について説明を行った。

  • 日立ソリューションズ ITプラットフォーム事業部 デジタルアクセラレーション本部 渡邊歩氏

同社はもともと、コンサルタントがSBOM導入・活用をサポートする「ソフトウェア部品管理ソリューション」を提供してきた。その中で、個別のコンサルティングによって対応してきたが、もっと効率的に顧客に対応したいという想いから、同社がこれまで培ってきたベストプラクティスや知見を「SBOM管理サービス」として提供することにしたという。

渡邊氏は、SBOMが求められる背景として、「モノづくりのソフトウェア化が加速していること」と「OSSの活用が急拡大していること」を挙げた。「技術革新の高速化と開発期間の短縮により、モノづくりのソフトウェア化が進んでいる。例えば、自動車1台当たりのソースコードの量は2億行に上り、自動車1台に占めるソフトウェアのコストは約半分に及ぶ」(渡邊氏)

また、OSSは「脆弱性」「ライセンス違反」「地政学的リスク」「改竄、破壊」「サポート切れ」といったリスクを抱えている。加えて、OSSは多層的かつ複雑な構成で利用されるため、リスクを把握できない、いわゆる「ブラックボックス化」した状態にあるという。実のところ、ソフトウェアの脆弱性を突くサプライチェーン攻撃が増えている。

そこで、SBOMによりソフトウェアの構成を可視化することで、効果的なリスク対策が可能になり、安全なサプライチェーンを実現できる。

「SBOM管理サービス」の開発ロードマップ

「SBOM管理サービス」は段階的に機能が提供されることが計画されている。ステップ1は「SBOMの一元管理」、ステップ2は「コンプライアンス強化」、ステップ3は「業界規格・標準準拠」、ステップ4は「OSPO(オープンソースプログラムオフィス)プラットフォーム対応」を目指す。

  • 「SBOM管理サービス」の開発ロードマップ

今回、ステップ1として、脆弱性情報の共有と管理の自動化を実現する「SBOM管理サービス」が発表された。

ステップ2では、ライセンス管理の効率化によりコンプライアンスを強化する。具体的には、主要なOSSライセンスについて、利用形態に応じた責務、注意するべき事項(免責条項など)を参考情報として表示する。

ステップ3では、国際標準 ISO/IEC 5230やOSSガイドラインに準拠するための管理機能を実装することが計画されている。

最後のステップ4では、企業におけるOSS活用を牽引するOSPOの活動を支援する機能を提供する。OSPOには、企業のOSSライブラリの選択、ライセンスコンプライアンスのワークフロー、広範なOSSコミュニティとの関係などの監督が含まれる。

「SBOM管理サービス」の特徴

SBOMには、複数の標準フォーマットがあるほか、SBOM生成ツールごとの特性による差分などの影響で、一元管理することが難しいという課題があった。同サービスでは、異なるツールで作成したさまざまな形式のSBOMを単一のプラットフォームで一元管理することができ、さらにサプライチェーンを構成する企業間で情報共有できる。

  • 「SBOM管理サービス」の仕組み

渡邊氏は、「SBOM管理サービス」の強みとして、クラウドサービスとして提供していることを挙げた。「サプライチェーンにおいては情報共有が大事。SBOM管理サービスはクラウド形式で提供されるため、複数企業でさまざまな情報を共有することが可能」(同氏)

渡邊氏は同サービスの主要機能として、以下を挙げた。

  • 共通プラットフォーム
  • SBOM蓄積
  • 脆弱性監視

脆弱性管理を自動化

例えば、システムを構成するソフトウェア部品の識別情報(CPE)とコンポーネントのひもづけを自動で行い、その情報をもとにシステムに影響を及ぼす脆弱性を自動で検知する。

SBOMはコンポーネントの名称とバージョンを管理している一方、脆弱性はCVEというIDによって管理されている。渡邊氏によると、SBOMのコンポーネントの脆弱性の有無を調べたい場合、CVEを引き当てなければいけないが、CPEを経由するのが一般的な手法だが、CPEを機械的に識別することが難しいという。

そこで、同サービスでは脆弱性管理において、CPEのひもづけの自動化により、省力化を図るとともに、検知漏れを軽減する。

ユーザーが監視対象に設定したSBOMに問題が検出された場合は、脆弱性の詳細情報や影響度などの対応に必要な情報を通知する。