ソフトウェアサプライチェーン攻撃の対策として注目される「SBOM」

SBOMとは

Software Bill of Materials の頭文字をとった単語で、ソフトウェア部品表を意味し、読み方は「エスボム」と読みます。

特定の製品に含まれるすべて(プロプライエタリおよびオープンソースなど)のソフトウェアコンポーネント、ライセンス、依存関係を一覧化したものです。
引用:https://www.hitachi-solutions.co.jp/oms/sp/blog/2021120105/

この表は、ソフトウェアサプライチェーンの可視化に役立ちます。

とくにLinuxやJavaといったOSS(ソースコードが無償で公開され、利用・改変・再配布が許可されているソフトウェア)は多くのユーザーに幅広く利用され、システム構築に役立ちますが、その反面脆弱性が見つかりやすく、攻撃対象になりやすい弱点があるためサプライチェーン攻撃の標的になりやすいです。
そういった場合の対策として、SBOMを作成していれば自分が利用しているシステムは影響を受けるのかがすぐに把握できるだけでなく、使われているソースに脆弱性があった場合に即座に特定して対応がしやすくなります。

そもそもソフトウェアサプライチェーン攻撃とは?

サプライチェーンとは経営用語の1つで製品の原材料・部品の調達から販売に至るまでの一連の流れを指す用語です。
私たちが使っているシステムやアプリケーションはソフトウェアやソースといった部品によりできていますが、その部品も多くのコンポーネントから成り立っています。
この一連の流れを上記の用語になぞらえてソフトウェアサプライチェーンとよびます。

このソフトウェアサプライチェーンの間に悪意のあるコードを仕掛けたり、バックドアを仕込み攻撃を仕掛けることをソフトウェアサプライチェーン攻撃といいます。
最近ではLog4jが攻撃をうけ、大きな話題になっていたことも記憶に新しいかと思います。

なぜ注目されているのか

2021年に発行されたサイバーセキュリティに関する米国大統領令が関係しています。

Executive Order on Improving the Nation’s Cybersecurity
https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/

この大統領令はこの年に発生した大規模なサイバー事件を受けて発行されました。

米燃料パイプライン停止の影響広がる、全面復旧にはなお時間
https://www.jetro.go.jp/biznews/2021/05/8855e399f1f07274.html

そしてこのガイドラインの中で「ソフトウェアサプライチェーンのセキュリティの強化」にて、
SBOMを公開する旨の記載があり、SBOMにおける最低限必要な要素について触れられています。

これにより、SBOM提供の義務化が促進されると予想され注目を集めています。

まとめ

大きなサイバー攻撃をきっかけにソフトウェアの管理方法が見直されています。
SBOM自体は新しい手法ではありませんが、上手く活用しどんなインシデントにも迅速に対応できるよう備えておきましょう。

参考サイト

https://www.hitachi-solutions.co.jp/oms/sp/blog/2021120105/
https://circleci.com/ja/blog/secure-software-supply-chain/
https://www.jetro.go.jp/biznews/2021/05/35e8aca1614f6fe5.html
https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/