ベリサーブ、ソフトウェアサプライチェーン管理パッケージ「SBOM.JP」発表

画像提供：マイナビニュース

ベリサーブは9月6日、10月より、SaaS型のソフトウェアサプライチェーン管理パッケージ「SBOM.JP（エスボムジェイピー）」の提供を開始すると発表した。同社は新製品発表に伴い、説明会を開催した。
攻撃者視点のセキュリティ対策に向け、SBOMの活用を

SBOM（Software Bill Of Materials）は直訳すると「ソフトウェア部品表」となり、製品に含まれるソフトウェアをリスト化したものを指す。SBOMの活用によりライセンス情報や脆弱性の管理を行うことが可能で、特に、OSS（Open Source Software）を利用する製造業などで需要が高まっているという。

説明会では、大阪大学 情報セキュリティ本部 猪俣敦夫教授が、「ソフトウェアの視える化により変革する社会システムとどう付き合うべきか」というテーマの下、基調講演を行った。

冒頭、猪俣教授は、「一歩間違うと攻撃につながることから、サイバー攻撃を研究できないが、これこそ、日本がセキュリティで後れを取っている原因の一つ。攻撃者の視点で守らず、境界防御と続けてきたのが立ち遅れの原因。次の世代は、攻撃者の視点で防御を考える必要がある」と語った。

猪俣教授は、攻撃者視点でセキュリティを考える上で、「ソフトウェアは脆弱性を抱えていることを前提とする必要がある」と指摘した。そんなソフトウェアを防御するにはその内容を知っている必要があるが、簡単なことではない。

EU領域では、食品の原材料をもとに「Nutri-Score」という評価が表示されている。A～Eまでの5段階で表示されており、Eは危険を意味する。猪俣教授は、この世界観をコンピュータにも持っていく必要があると述べた。

有償、無償を問わず、OSSも含めてソフトウェアには、「コンポーネント群の詳細」「ライブラリなどの依存関係」「サプライチェーンの関係」が含まれている。猪俣教授は、「これらを記録できれば、カルテのような役割を果たす」と語った。

さらに、猪俣教授は「ソフトウェアの詳細は、わからなくて当たり前であり、脆弱性が発見された場合、その影響範囲や規模の推定は困難であるのが当たり前」と話した。

その例として、Apache Log4jとXZ Utilsの脆弱性が紹介された。いずれもOSSに関連した脆弱性であるがゆえに、どこまで含まれているかを調べることは大変手がかかり、いわば「長距離マラソン」のようなものとも言われているという。