ソフトウェアサプライチェーンセキュリティを「品質」で読み解く：ソフトウェアサプライチェーンの守り方（3）（2/4 ページ）

米国と欧州を中心に法整備が進みつつある「ソフトウェアサプライチェーン」のセキュリティについて解説する本連載。最終回となる第3回は、SBOMの流通によってどんな「良いこと」と「悪いこと」が起こるかを整理しつつ、品質保証の枠組みへの取り込みについても考察する。

[松岡 正人，MONOist]

脆弱性を放置しないための「ソフトウェアサプライチェーンリスク管理」

　そもそもITセキュリティ対策に対する十分な人と予算を割けない組織や企業にとって、自分達が「利用する」ソフトウェアの「脆弱性」は開発者の問題だというのが今までの認識だったと思う。しかし、「脆弱性」を「放置し続けた」ことでこの数年間に大規模なサイバー攻撃による被害を受けた米国^※1）は「脆弱性を放置しない」ための仕組みとして「ソフトウェアサプライチェーンリスク管理」というアプローチを生み出す羽目になったのである。

※1）ソフトウェアサプライチェーンのリスクを可視化するという取り組みとは別に、CISAは、悪用されている既知の脆弱性のカタログを作成し対処を求めている。これは「BOD 22-1」として2021年11月3日に発令されている指令に基づいている。ちなみに、「BOD 19-2」が同様に「重大な脆弱性の確認と修正」を求めていたにもかかわらずである。米国政府にとっても、連邦政府機関のITシステムが抱えるソフトウェアのリスクに対する対処が不十分であると考えている証左ともいえる。

　実際、米国では大統領令が発令された翌年2022年10月に、米国CISA（サイバーセキュリティ・社会基盤安全保障庁）による次の指令（Direction）として「BOD（BINDING OPERATIONAL DIRECTIVE） 23-1」が発令されている（図4）。

図4　「BOD 23-1」のリリース［クリックでWebサイトへ移動］

　「BINDING OPERATIONAL DIRECTIVE」とは「拘束力のある運用指令」とも訳されるが、この指令では、米国連邦政府の各組織に対して以下のアクションを求めている。

• IT資産の自動検出を毎週行う
• 発見されたIT資産の脆弱性の列挙を14日以内に行う
• 脆弱性情報を72時間以内にCDM（Continuous Diagnostics and Mitigation：継続的な診断および軽減）エージェンシーダッシュボードに登録する
• 上記の能力を維持管理する
• また、CISAが上記の脆弱性管理について、各組織のパフォーマンスデータの要件を定めた後、6カ月以内にパフォーマンスデータを公開すること
• 2023年4月3日までに、CISAと連邦組織は上記のデータを公開するためのCDMエージェンシーダッシュボードを公開する

　ということで、BOD 23-1とは、脆弱性対策が後手に回りがちなソフトウェアの「利用者」である連邦政府の組織に対して「自分の利用するソフトウェアの脆弱性を把握しなさい」という指令（Direction）なのである。SBOMが大統領令に登場した背景でもある「脆弱性を放置していることへの危機感」が如実に見て取れる。そして、これはソフトウェアサプライチェーンセキュリティやソフトウェアサプライチェーンリスク管理といった文脈で、SBOMとともに「危機感を共有している」業界での採用が進んでいるということだということだろう。

　しかし、連邦政府機関や自動車メーカーのように大きな組織ではない、あるいはITセキュリティの専門家を抱えている組織ではない場合、SBOMの流通によって脆弱性情報が得られるだけではどのように対処すべきか判断に困る場合もあると思われるが、その場合は外部専門家の支援を受けるのが近道ではある。