激増するOSSのセキュリティ対策を、SBOMと脆弱性情報の管理基盤を提供開始:製造ITニュース
日立ソリューションズはSBOM情報やソフトウェアの脆弱性情報を一元管理する「SBOM管理サービス」を提供開始した。
日立ソリューションズは2023年12月13日、SBOM(ソフトウェア部品表)情報やソフトウェアの脆弱性情報を一元管理する「SBOM管理サービス」を提供開始した。オープンソースソフトウェア(OSS)の脆弱性情報の共有や管理に関わる業務を効率化する。
SBOMと脆弱性情報のひも付けを効率化
SBOM管理サービスは、企業のSBOMを蓄積、分析、管理するためのプラットフォームを提供するものだ。日立ソリューションズは同サービスの機能ロードマップを4段階で考えており、今回、提供を開始したのは1段階目の「脆弱性の共有と管理の自動化」に関わる部分となる。
特徴として、公開された脆弱性情報を自動的に収集して、ソフトウェアに影響を与え得る脆弱性を検出し、深刻度や対応ステータスなどの項目を使って管理できる点が挙げられる。ソフトウェアのコンポーネントと脆弱性情報のひも付けに用いるCPE識別子を自動的に引き当てることで、脆弱性情報の検知もれを防ぐ。
従来はSBOMに登録されたコンポーネントの名前やバージョン情報に表記ゆれなどがあると、CPE識別子を介して機械的に脆弱性情報をひも付けることが難しかった。そのため工数がかかる点が課題だったが、日立製作所が持つソフトウェア脆弱性検知技術を活用することでこれを解決した。
各コンポーネントにCPE識別子を引き当てた後は、脆弱性監視を定期的に自動実行する。検出された脆弱性情報は、その詳細をダッシュボード上で確認できるようになる。SaaS(Software as a Service)形式のクラウドサービスのため、こうした情報を共通のプラットフォームを使い、サプライチェーンの組織間で共有することも可能だ。
日立ソリューションズでは機能ロードマップにのっとり、SBOM管理サービスに順次、機能追加をしていく計画だ。2段階目ではOSSライセンスの管理や解釈の支援機能を強化し、3段階目では組織がOSS活用で満たすべきコンプライアンス要件の国際標準「ISO/IEC 5230」やOSSガイドラインに対応した管理機能の搭載、4段階目では組織内のOSSの活用推進を担う「OSPO(Open Source Program Office)」の活動を支援する機能の提供をそれぞれ予定している。
SBOM管理において日立ソリューションズが持つ独自の強みについて、日立ソリューションズ ITプラットフォーム事業部 デジタルアクセラレーション本部の渡邊歩氏は「日立ソリューションズはSBOMとOSSの管理に関するコンサルティングサービスを長く提供してきており、ベストプラクティクスやノウハウを多く蓄積している。大手自動車企業など製造業を中心に60社以上のSBOM導入支援を手掛けてきた実績がある」と説明した。
なぜSBOMの重要性が高まっているのか
近年の製造業では、自動車や家電製品などに代表されるように、ソフトウェアを活用したモノづくりの重要性が増している。この中でOSSは、ソフトウェア開発のサイクルスピードを加速させる上で欠かせない役割を果たす。誰もが利用できる高品質なプログラムを適切に使用すれば、開発効率の向上が望めるからだ。
ただ、OSSを活用することで課題も生じ得る。その1つがソフトウェア構成のブラックボックス化だ。渡邊氏は「いまや1製品当たり、数百から数万個ものOSSを活用している例も少なくない。1つのOSSがまた別のOSSを内包していることもあり、多段階かつ複雑な構成になっている。1つの製品を構成するOSSの全体を把握することが非常に困難だ」と指摘する。こうした状況では、OSSの脆弱性を突いたサイバー攻撃への対応が遅れ、ソフトウェアのサプライチェーン全体がセキュリティリスクに直面しかねない。
こうした背景から世界的に注目度が増しているのがSBOMだ。ソフトウェアを構成するコンポーネントやサプライヤーの情報を一覧にして可視化することで、効果的なリスク対策になる。現在、自動車や医療機器、通信、インフラ向けの産業用制御システムなどを展開する業界でSBOMの活用が進んでいるという。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
日本におけるソフトウェアサプライチェーンセキュリティとSBOMの目的
米国と欧州を中心に法整備が進みつつある「ソフトウェアサプライチェーン」のセキュリティについて解説する本連載。第2回は、日本でのソフトウェアサプライチェーンセキュリティに関する取り組みの状況について紹介する。
SBOMがあれば脆弱性管理は完璧……となるその前に
「モノづくりに携わる人」だからこそ、もう無関心ではいられない情報セキュリティ対策の話。今回は、セキュリティ観点でソフトウェアの部品管理「SBOM」に注目したいと思います。
米国のSBOM整備は2023年以降に進むか、ライセンス競合の主因はもはやGPLではない
日本シノプシスは、商用ソフトウェアにおけるOSS(オープンソースソフトウェア)の利用状況を調査した「2023 オープンソース・セキュリティ&リスク分析レポート」の結果について説明した。
ソフトウェアサプライチェーンセキュリティを「品質」で読み解く
米国と欧州を中心に法整備が進みつつある「ソフトウェアサプライチェーン」のセキュリティについて解説する本連載。最終回となる第3回は、SBOMの流通によってどんな「良いこと」と「悪いこと」が起こるかを整理しつつ、品質保証の枠組みへの取り込みについても考察する。
米国大統領令の影響か? 商用ソフトウェアのOSS由来脆弱性が減少傾向に
日本シノプシスは、商用ソフトウェアにおけるOSS(オープンソースソフトウェア)の利用状況を調査した「2022年オープンソース・セキュリティ&リスク分析(Open Source Security and Risk Analysis:OSSRA)レポート」の結果について説明した。