ソフトウェア・サプライチェーン
ソフトウェア・サプライチェーンは、ソフトウェアの成果物を開発、構築、公開するために使用されるコンポーネント、ライブラリ、ツール、プロセスで構成される[1]
ソフトウェア・ベンダーは、オープンソースや商用ソフトウェアのコンポーネントを組み合わせて製品を作成することが多い。ソフトウェア部品表[2] (SBOM) は、ソフトウェアアプリケーションのようなソフトウェア成果物を構築するために使用されるコンポーネントの目録を公表する。[3] アレルギー, を引き起こす可能性のある食品を避けるためにラベルを参照するように、SBOMは、組織または個人に害を及ぼす可能性のあるソフトウェアの使用を避けるのに役立てることができる。
BOMの概念は、サプライチェーン・マネジメントの一環として、従来の製造業で定着している。[4] メーカーはBOMを使用して、製品を作るために使用する部品を追跡する。後から特定の部品に欠陥が見つかった場合、BOMを使えば、影響を受けた製品を簡単に見つけることができる。
使用法
[編集]SBOMは、ソフトウェア製品の構築者(製造者)と購入者(顧客)の両方にとって有用である。構築者は、製品を作成するために、利用可能なオープンソースやサードパーティのソフトウェアコンポーネントを活用することが多い。SBOMにより、構築者は、それらのコンポーネントが最新であることを確認し、新しい脆弱性に迅速に対応することができる。[5] 購入者は、SBOMを利用して脆弱性 や利用許諾の分析を行うことができ、どちらも製品のリスク評価に使える。
多くの企業が一般的な部品表管理にスプレッドシートを使用しているが、スプレッドシートに書き込まれたSBOMにはさらなるリスクと問題がある。SBOMは、他のオートメーションシステムの一部となり、他のアプリケーションから簡単に照会できるリポジトリにまとめて保存されると、より大きな価値を得る。自動化されたSBOM処理のためのこのニーズは、Software Package Data Exchange (SPDX) オープンスタンダードにより処理される。
ソフトウェアのサプライチェーンを理解し、SBOMを入手し、これを用いて既知の脆弱性を分析することは、リスクマネージメントにおいて極めて重要である。[6][7][8]
法令
[編集]2014年のサイバー・サプライ・チェーン管理および透明性法[9] は、政府機関が新たに購入するすべての製品についてSBOMの取得を義務付けることを提案した米国の法律である。 また、「米国政府によって使用されているあらゆるソフトウェア、ファームウェア、製品」についてもSBOMの取得を義務付けるものであった。 最終的には通過しなかったが、この法律は政府に認識をもたらし、2017年のIoTサイバーセキュリティ改善法のような後の法律に拍車をかけた。[10][11]
2021年5月12日の米国サイバーセキュリティ改善に関する大統領令[12]は、NISTに対し、”ソフトウェアのサプライチェーンのセキュリティを強化する”ために、”購入者に各製品のソフトウェア部品表(SBOM)を提供する”など、いくつかのテーマについて「基準、手順、または基準を含む」ガイダンスを90日以内に発行するよう命じた。また、NTIA が60日以内に "SBOMの最小要素を公表する "ことも義務付けた。
NTIAの最小要素は2021年7月12日に公表され[13]、"ソフトウェアのサプライチェーンにおける透明性を高めるためのSBOMの使用事例を説明するとともに、将来の進化のための選択肢を示している"。 最小要素は、データフィールド(各ソフトウェアコンポーネントに関するベースライン情報)、自動化サポート(機械および人間が読み取り可能な形式でSBOMを生成する能力)、およびプラクティスとプロセス(組織がSBOMを生成する方法とタイミング)の3つの大まかなカテゴリで構成されている。”自動化サポート”要件は、”自動生成”の必要性を規定しており、これは ソフトウェア構成分析 (SCA) ソリューションを使用することで可能となる。[14]
関連項目
[編集]- Reproducible builds
- Software Package Data Exchange
- Software toolchain
- Supply chain attack
- Manifest file
- Dependency hell
脚注
[編集]- ^ “For Good Measure Counting Broken Links: A Quant’s View of Software Supply Chain Security”. USENIX ;login. 2022年7月4日閲覧。
- ^ “Software Bill of Materials”. ntia.gov. 2021年1月25日閲覧。
- ^ “[Part 2 Code, Cars, and Congress: A Time for Cyber Supply Chain Management]”. 2015年6月12日閲覧。
- ^ “Code, Cars, and Congress: A Time for Cyber Supply Chain Management”. 2015年6月12日閲覧。
- ^ “Software Bill of Materials improves Intellectual Property management”. Embedded Computing Design. 2015年6月12日閲覧。
- ^ “Appropriate Software Security Control Types for Third Party Service and Product Providers”. Docs.ismgcorp.com. 2015年6月12日閲覧。
- ^ “Top 10 2013-A9-Using Components with Known Vulnerabilities”. 2015年6月12日閲覧。
- ^ “Cyber-security risks in the supply chain” (PDF). Cert.gov.uk. 2020年7月28日閲覧。
- ^ “H.R.5793 - 113th Congress (2013-2014): Cyber Supply Chain Management and Transparency Act of 2014 - Congress.gov - Library of Congress” (4 December 2014). 2015年6月12日閲覧。
- ^ “Internet of Things Cybersecurity Improvement Act of 2017”. 2020年2月26日閲覧。
- ^ “Cybersecurity Improvement Act of 2017: The Ghost of Congress Past” (17 August 2017). 2020年2月26日閲覧。
- ^ “Executive Order on Improving the Nation's Cybersecurity” (英語). The White House (2021年5月12日). 2021年6月12日閲覧。
- ^ “The Minimum Elements For a Software Bill of Materials (SBOM)” (英語). NTIA.gov (2021年7月12日). 2021年12月12日閲覧。
- ^ “NTIA Releases Minimum Elements for a Software Bill of Materials” (英語). NTIA.gov (2021年7月12日). 2022年3月22日閲覧。