SBOMは、ソフトウェアにおける原材料の一覧表

SBOM（エスボム）という言葉をご存知でしょうか。SBOMとは、「Software Bill of Materials」（ソフトウェア部品表）の略称で、ソフトウェアがどのような要素から構成されているのか、その情報を一覧化したものです。

このSBOMは、しばしば食品の原材料欄に例えられます。たとえばジュースであれば砂糖／ブドウ糖液糖／炭酸…、飴であれば水あめ／香料／着色料…など、食品を構成する原材料がパッケージに記載されています。SBOMは、この原材料欄のソフトウェア版です。

ソフトウェアも食品と同様、さまざまな原材料が組み合わせて作られています。どのようなコンポ―ネント（部品）が使用されているのか、開発元はどこなのか、バージョンは何なのか……といったソフトウェアの中身に関する情報を、まとめてリスト化するのがSBOMです。

SBOMが脆弱性のあるOSSを見つけやすくする

このSBOMは、セキュリティ対策に有効な手段として、2021年頃より注目されています。SBOMは2021年5月、アメリカ合衆国のジョー・バイデン大統領が発表したサイバーセキュリティー強化を目的とした大統領令の中で、SBOMを作成することを指示する内容が盛り込まれました。

なぜ、SBOMを作成することが、セキュリティ強化につながるのでしょうか？ それは、ソフトウェア開発の際に使用される「OSS」が発見しやすくなるからです。

OSSとは「オープンソースソフトウェア」（Open Source Software）を意味する言葉です。OSSは、ソースコードが公開され、誰でも無償で、自由に改変・再配布ができるソフトウェアのことです。料金が掛からないうえ、ソフトウェアをゼロから作る手間も省けるため、OSSを使って開発をすれば、コストも労力も抑えられるというメリットがあります。

ただし、そのOSSに脆弱性が発見された場合、その脆弱性を狙ったサイバー攻撃が行われ、被害を受ける可能性が高くなります。

OSSの脆弱性として有名なものとしては、「Apache Log4j」が挙げられます。Apache Log4jは、Javaベースのアプリケーションで使用されているライブラリで、業界内で広く使用されていたOSSですが、2021年12月、Apache Log4jに「Log4Shell」と呼ばれる脆弱性が存在することが発見されました。

もちろん企業としては、自社製品にApache Log4jが使用されているか否かを早く発見する必要があります。しかし、そのことが分からなければ、対処のしようがありません。

そこで、SBOMで情報を管理しておけば、脆弱性のあるOSSが存在していることがすぐに発見し、対処ができます。もしSBOMに当該OSSがなければ、特に対処の必要がないことも分かります。

つまりSBOMがあることで、脆弱性に早く気付き対応が取れるため、SBOMがセキュリティに有効ということになります。

SBOMの業界知名度はイマイチ？

このようにセキュリティの強化に貢献するSBOMですが、知名度や導入率はそこまで高くはありません。

2023年12月、クラウドサービス「yamory（ヤモリー）」を手掛けるビジョナル社が企業の情報システム部門に対して行ったアンケート調査では、SBOMについて「良く理解している」「多少は理解している」と回答したのが24%、「聞いたことがある程度」は17.3%と、認知率は約4割で、半分以上の58.7%が「知らない」と回答しました。

認知をしている人に対する導入状況の設問では、「導入している」が33.1%で、以下「導入に向けて検討中」（22.5%）、「具体的なアクションはしていないが、今後導入予定」（18.5%）と続きます。「導入予定はない」は25.8%でした。

ただし、日本でもSBOMを導入する動きはあり、経済産業省は2023年7月に、企業にSBOMの導入を勧める「ソフトウェア管理に向けたSBOM（Software Bill of Materials）の導入に関する手引」を公開。同省では、SBOMの具体的なメリットや導入方法を把握できていない組織にとって役に立つ手引きであるとしています。

ソフトウェアの脆弱性を狙ったサイバー攻撃は、いつ起こってもおかしくありません。SBOMがあれば、もしもの時に、SBOMが無い企業よりも早く対処できるようになります。新しいセキュリティ対策として、検討してみてはいかがでしょうか。