SBOM等の利活用を通じたサプライチェーンにおける包括的なサイバーセキュリティ能力の向上推進
セキュリティ・トランスペアレンシー・コンソーシアム活動ビジョン「セキュリティ透明性の向上と活用に向けて」を公表
日本電信電話株式会社(以下「NTT」)および日本電気株式会社(以下「NEC」)を幹事事業者とし、2023年9月サプライチェーンセキュリティリスクの低減を目的とする「セキュリティ・トランスペアレンシー・コンソーシアム(Security Transparency Consortium、以下 「本コンソーシアム」)」を発足した。 発足時の参加事業者であるアラクサラネットワークス株式会社、株式会社NTTデータグループ、株式会社FFRIセキュリティ、シスコシステムズ合同会社、株式会社日立製作所、三菱電機株式会社に、あらたにNRIセキュアテクノロジーズ株式会社、東京エレクトロン株式会社が加わり、本コンソーシアムに取り組んでいる。今回、活動成果として、製品・システム・サービス等に関して「つくる側」が作成・提供した可視化データを利用する際に直面する問題を「つかう側」からとりまとめ、その問題解決に向けた本コンソーシアムの活動方針を活動ビジョンとして公表した。
1.背景
製品・システム・サービス等がサプライチェーンを通じてセキュリティ侵害を受ける「サプライチェーンセキュリティリスク」は、各構成要素の供給元なども含めた全世界に拡がったサプライチェーン全体での対応が求められている。このような中、世界各国では法制度の整備を通じて、ソフトウェア部品を一覧化する標準データ形式であるSBOMフォーマット※1に基づき、ソフトウェア構成に関する「可視化データ」の作成および提供をサプライチェーンの供給側を担う事業者に求める動きが活発化している。
このような動きによって、可視化データを「つくる側」の視点にますますフォーカスしていくと、可視化データの生成に伴うコスト負担の問題のような「つくる側」の問題対処ばかりに偏重してしまう可能性がある。その結果、可視化データを現実的な範囲でつくることが目的化してしまい、可視化データが本来もたらすはずであった利点を損なうおそれがある。一方、「つかう側」の視点にも立った検討を行うことによって、例えば、可視化データを有用につかうために満たすべきデータ内容の条件※2を見出することができれば、「つくる側」が行う可視化データの生成においても無駄なデータ生成を回避しやすくなるなどのメリットがもたらされる。
このように真に問題を解決するためには、サプライチェーンにおける「つくる側」と「つかう側」にあたる多様な事業者による協調に加えて、特に「つかう側」の視点も取り入れた問題対処が不可欠である。
2.活動ビジョン概要
本コンソーシアムは、SBOMなどの可視化データの活用によってサプライチェーンを通じてセキュリティの透明性を高め、製品・システム・サービス等に関するサプライチェーンセキュリティリスクの抜本的な低減をめざしている。可視化データの作成および提供のような「つくる側」の取り組みが進む中、本コンソーシアム活動を通じた可視化データを「つかう側」の取り組みを加速させることは、さらなる可視化データの作成と提供へとつながる好循環をもたらす。
そこで、本コンソーシアムでは、「つかう側」の取り組みひとつとして可視化データを活用する際に「つかう側」が直面する問題を以下のとおり提起するとともに、各問題に対処するために本コンソーシアムがめざすゴールおよびゴール達成に向けた活動方針、活動内容を活動ビジョンとしてウェブサイト※3にて公表した。
(1) 社会浸透・認知の不足
「可視化データ」の価値を具体的に理解できないために、どう利用してよいかわからない等
(2) フォーマット・データの未整備
「可視化データ」を統一的に扱うために「つかう側」の活用方針を定めなくてはいけない等
(3) 技術・ツールの不足
膨大な「可視化データ」を扱うためには自動化が必要等
(4) 活用コストの負担
可視化データの導入がもたらす業務の変化に対応するため、担当者の教育や関連ツールの習熟を
効率的に行える必要がある等
(5) 継続的な活用
ソフトウェア更新時に正しい可視化データを継続的に入手する必要がある等
(6) サプライチェーン上の調整
多段構成であるサプライチェーン上で「つくる側」と「つかう側」の相互共有のしくみが必要等
(7) 「可視化データ」がもたらす影響
可視化データの浸透によってセキュリティの透明性が高まると、従来は見えておらず
対処することがなかった事象についても対処が必要となる等
(8) その他
「可視化データ」活用が従来の業務には含まれていないため、業務体制の見直しが必要になる等
本活動ビジョンは、SBOM等を活用しはじめている、もしくは活用を検討している多くの事業者が直面する問題について共通認識を醸成し、それらに協調して対処するための出発点である。
3.今後の展開
本コンソーシアムの場を通じた多様な事業者の協調的な取り組みによって、前述の可視化データ活用における各問題に関する対処策を共創し、「可視化データ活用に関する知見集(仮称)」をホワイトペーパーとしてとりまとめ、ウェブサイト※3にて、2024年春以降、順次公表していく予定で、引き続き事業者の拡大にも取り組んでいく。
4.参加事業者(50音順、2024年2月16日現在)
参加事業者は以下のとおりです。さらなる参加事業者の募集をウェブサイト※3にて実施中。
・アラクサラネットワークス株式会社
・NRIセキュアテクノロジーズ株式会社
・株式会社NTTデータグループ
・株式会社FFRIセキュリティ
・シスコシステムズ合同会社
・東京エレクトロン株式会社
・日本電気株式会社
・日本電信電話株式会社※4
・株式会社日立製作所
・三菱電機株式会社
5.エンドースメント
■経済産業省 商務情報政策局 サイバーセキュリティ課 飯塚智様
「経済産業省は、企業によるSBOMの利活用を推進するための検討を進めており、2023年7月、SBOMを導入するメリットや実際に導入するにあたって認識・実施すべきポイントをまとめた手引書を策定いたしました。
ソフトウェアの脆弱性への対応に係る初動期間の短縮や管理コストの低減等のSBOM導入による効果を発揮するためには、SBOMを「つくる側」だけではなく「つかう側」の視点も取り入れた検討が重要です。本コンソーシアムにより、企業によるSBOMの利活用が進み、日本の産業界におけるサイバーセキュリティ能力の向上に繋がることを期待いたします。」
※1
Software Bill of Materials、製品に含まれるソフトウェア部品を一覧化するためのデータ形式
URL:https://www.ntia.gov/
※2
SBOM等の可視化データが含むべきデータ項目の「品揃え」「形式」「値」などの条件をつかう側の用途(セキュリティ運用等)の視点から定めたもの
※3
セキュリティ・トランスペアレンシー・コンソーシアムウェブサイト
URL:https://www.st-consortium.org
※4
日本電信電話株式会社の代表参加を通じて以下のNTTグループ各社も本コンソーシアムと連携します。
東日本電信電話株式会社(本社:東京都新宿区、代表取締役社長:澁谷 直樹)、西日本電信電話株式会社(本社:大阪府大阪市都島区、代表取締役社長:森林 正彰)、株式会社NTTドコモ(本社:東京都千代田区、代表取締役社長:井伊 基之)、NTTコミュニケーションズ株式会社(本社:東京都千代田区、代表取締役社長:丸岡 亨)、NTTアドバンステクノロジ株式会社(本社:東京都新宿区、代表取締役社長:伊東 匡)、NTTテクノクロス株式会社(本社:東京都港区、代表取締役社長:岡 敦子)