2024.12.19
システムの穴を運用でカバーしようとしてミス多発… バグが大量発生、決算が合わない状態から業務効率化を実現するまで
提供:株式会社日立ソリューションズ
リンクをコピー
記事をブックマーク
渡邊歩氏(以下、渡邊):「SBOMを語る3日間! OSSマネジメントフォーラム2022」Day1となる本日は、「経産省におけるOSS及びSBOMに係る取組等について」ということで、経済産業省商務情報政策局サイバーセキュリティ課の三田さまよりご講演をいただきます。それではよろしくお願いいたします。
三田真史氏(以下、三田):ただいまご紹介にあずかりました、経済産業省 商務情報政策局 サイバーセキュリティ課の三田と申します。本日は、経済産業省におけるOSS及びSBOMに係る取り組みについてご紹介します。
本日の紹介のメインは主に3点目、4点目の内容になります。そもそも情報セキュリティ脅威や、最近の事例でどういったものがあったのか、国内外の動きとしてどういった動きがあるのかを簡単に紹介しながら、経済産業省がサイバーセキュリティ対策に向けて、どういう検討体制を敷いているのかについて、簡単に触れます。
みなさまもご承知かと思いますが、昨今のサイバー攻撃はかなり多様化しており、よくニュースで耳にするとおり「ランサムウェア攻撃」、あるいは特定の企業を執拗に狙った「標的型攻撃」などがあります。
左下はIPA(独立行政法人 情報処理推進機構)が2022年1月に公表した「情報セキュリティ10大脅威」で、2021年に社会的に影響が大きかった事例をランキングしたものです。
その上位を見ても「ランサムウェアによる被害」、あるいは多様化するサプライチェーンを狙った弱点を突いた攻撃、また6位に関しましては、脆弱性対策の情報の公開に伴う悪用増加。
1つ前の年ではランク外だったゼロデイ攻撃についても、2022年のランキングにはランクインしてきており、かなり多種多様となってきています。
三田:事例を2つほど紹介いたします。ニュースなどでも目にしたことがあるかと思いますが、海外ではアメリカのパイプライン大手がランサムウェア攻撃を受けて、すべてのパイプラインが一時停止するといった事例が生じていたり。
また国内では、国立病院がランサムウェア被害を受けて、電子カルテが暗号化され閲覧不可になったり、あるいは新規患者の受け入れが停止したという被害が生じております。
6位の脆弱性に関しては、みなさまも対応などに苦慮されたところではあるかと思っております。昨年12月にオープンソースのログ出力ライブラリであるApache Log4jの脆弱性が発表されて、かなり社会的な問題になったと考えております。
こちらも広く利用されているオープンソースであり、12月は年末ということで対応に追われたケースも多いと聞いております。何回も脆弱性の注意喚起などがされていますが、影響が大きかった事例として紹介させていただいています。
こういった社会的な動きを踏まえて、国際的にも2023年5月に「日米豪印サイバーセキュリティ・パートナーシップ」といったものが立ち上がっておりまして、そちらの中でソフトウェア・セキュリティについても協力していくことが宣言されています。
どういった協力かというと、ベースライン・セキュリティ標準の国内・国際的な実施や、継続的な整合性、政府調達におけるソフトウェア・セキュリティに係る整合的な開発について協働していくこととなります。
こうした国際的な動向等も見つつ、経済産業省では産業サイバーセキュリティの研究会を立ち上げ、企業の方や有識者の方からご意見をいただきながら、国内のサイバーセキュリティ対策について検討を進めています。
こちらの研究会では、大きく3つの分野でワーキンググループが設けられています。制度・標準化に関するWG 1。経営・人材・国際に関するWG 2。またビジネスエコシステムの創造といったビジネス化に関するWG 3といった、大きく3つのWGにおいて「グローバル」をリードする、「信頼の価値」を創出する。またサプライチェーンの広がりなども踏まえて、「中小企業・地域」まで展開するといった指針のもと、検討を進めております。
三田:具体的にどのようなサイバーセキュリティ対策が必要になってきているのかについて、当課にて策定したフレームワークを簡単に紹介いたします。
「Society5.0」については、それなりにニュースなどで目にしたことがあるかと思いますが、サーバー空間とフィジカル空間について、例えばIoT機器の利用やAIの活用、ビックデータの活用により、今までの取引関係のサプライチェーンだけではなく、間接的なつながりによる、柔軟で動的なサプライチェーンの構成が可能となってきています。
他方でつながりが広がるという観点から、サイバー攻撃の起点の拡散やサイバー空間からのフィジカル空間への影響の増大といった、新たなリスクへの対策が必要になってまいります。
こうした社会の動向などを踏まえ、当課で「サイバー・フィジカル・セキュリティ対策フレームワーク」を策定しております。サイバー空間とフィジカル空間のつながりと、フィジカル空間ですね。その3層構造について、6つの構成要素を整理した上で、必要となるサイバーセキュリティ対策の実施内容を検討し、フレームワークを策定したところです。
では、実際にフレームワークに基づいて、どういったことを具体化していくのか、実装化していくのか。ここに関しては、先ほどのWG 1の中に分野ごとのS(サブ)WGと、分野を横断したSWGがあります。こちらで各分野のガイドライン策定などを行っており、分野横断については、それぞれのレイヤーでのフレームワークやユースケースを策定しております。
三田:本日は、ソフトウェアの管理手法や脆弱性管理などの対応について検討を行っております、ソフトウェアタスクフォース(TF)についてご紹介いたします。
どのような検討を行っているのかというと、ご承知のとおりOSSの利用や依存度がかなり高まっている一方で、OSSを含んだソフトウェアの脆弱性対応、あるいはライセンス管理などの課題があります。
そのため本TFでは、ソフトウェア、特にOSSについての適切な管理手法や対脆弱性、あるいはライセンス対応について検討を行っております。本日紹介させていただくのがOSSの活用に関する部分と、SBOMの活用に関する部分の2つです。
1つ目のOSSの管理については、OSSの管理手法に関する事例集を策定しております。OSSに関する課題としては、例えばライセンスの管理や脆弱性の管理、あるいは、サプライチェーン上で(OSSを)どう扱っていくのかといったことが挙げられます。
あるいは、組織体制としてOSSに対してどういった人材育成をしていくのか。社内・社外問わずコミュニティ活動をどう活性化していくのかといったことについて、個別企業さまにヒアリングを行いながら、ポイントのある事例をまとめたものを策定いたしました。
掲載事例を挙げさせていただいていますが、例えばSBOMを使った脆弱性管理の事例ですとか、OSSの管理事例などもあります。こういった事例を参考にしていただきながら、ライセンス管理や脆弱性対応を進めていただければと考えております。
もう1つが、(本イベントの)3日間の中でのテーマになるかと思いますが、「SBOMの利活用に関する実証」も行っておりますので、こちらの取り組みもご紹介いたします。
そもそも「SBOMとは何ぞや」というところで、ご承知の方もいらっしゃるかと思いますが、簡単にご説明いたします。Software Bill Of Materialsということで、その名のとおり、ソフトウェアの部品構成表のことになります。
左下にイメージがありますが、例えばあるソフトウェアがどういう要素からなっているのか。誰が作ったbuffer(バッファ)で、バージョンがいくつなのか、誰が作ったブラウザでバージョンがいくつなのか。
そうしたコンポーネントの名称やバージョン、依存関係などの要素を表したものとなります。食品成分表がイメージとして近いかと思いますが、SBOMにより構成要素を可視化することが想定されています。
三田:ではSBOMを使った場合に、どういう効果があるのかというと、現状ソフトウェアについては、先ほどの要素が可視化されていない部分があります。例えば脆弱性が発覚した際に、それが使われているのかどうかという確認作業に時間がかかっているのではないかと思います。
この点、SBOMを使って要素を可視化しておくことで、脆弱性の要素が含まれているかどうかは即座に認識できますので、結果として脆弱性対応完了までの時間が短縮できるのではないかということが考えられます。
また、脆弱性対応以外の効果として、例えば、先ほどの事例集の中でも少しありますけれども、可視化しておくことによるライセンス管理への活用や、あるいは開発段階において、開発者が何を使われているかを理解していくことによって、関連するプロジェクトの理解促進につながるという効果も期待されています。
他方で課題としては、SBOMの作成方法や共有の在り方などが挙げられます。例えば、SBOMをキャロルさんが作って、それをボブさんにどう提供していくのかなど、サプライチェーン上でどう共有していくのかについては、まだまだ課題が存在します。
こちらは諸外国の動きになりますが、SBOMに関して、アメリカでは昨年の5月の大統領令の中で、ソフトウェアサプライチェーンの確保が掲げられております。
その中に「製品購入者に対してSBOMを提供すること」が記載されており、将来的には政府調達におけるSBOMの提供が考えられるところです。SBOMの要素については、昨年7月にNTIA(アメリカ合衆国国家電気通信情報管理庁)から最小要素が公表されています。
SBOMについては、大きく3つのカテゴリに分類されています。サプライヤー名やコンポーネント名、バージョン、それから依存関係などのカテゴリ、SBOMのフォーマットに関するカテゴリ、また、SBOMの運用方法のカテゴリについても、最小要素に含むものとして公表されています。
またアメリカのみならず、最近では今年9月にEUから「サイバーレジリエンス法案」が公表されており、中でも製造業者において、SBOMの作成義務が検討されております。
三田:このような状況もありつつ、国内ではどういう動きがあるのかという点ですが、こちらはNISC(内閣サイバーセキュリティセンター)から公表されているサイバーセキュリティ戦略2022の概要になります。
先ほどのようなサイバー空間とフィジカル空間の融合していく情勢等を考慮しつつ、自由、公正かつ安全なサイバー空間を実現していく必要があります。自由、公正かつ安全なサイバー空間の実現のために、特に強力に取り組む施策として、「サイバー・フィジカル空間の融合に対応したサイバーセキュリティ対策」として、日本でもSBOMの普及に向けた取り組みの推進等が掲げられております。
では、SBOMを導入する際の課題などをどう整理していくのか。先ほど申し上げたようにSBOMの活用によって、一定の効果が想定される一方で、やはり導入にかかるコストやSBOMの情報を開示することに対しての抵抗感などが考えられます。
そこで、実際にどうSBOMを活用すれば導入効果が大きくなり、効果的な活用につながるのかを確認するための実証を進めております。
こちらは、昨年度の経済産業省における実証ですが、効果やコストを比較して検討事項を整理しました。考えられる効果として、脆弱性特定の工数が削減や脆弱性修正までの期間などの低減、部品が可視化されていることによるライセンスの特定工数や、ライセンス違反残留リスク低減といったことが考えられます。
他方でSBOMを作るにあたっての体制構築や、ツールの環境整備や利用費用といったコストを設定しております。また比較条件として、何らかの部品管理を行っている場合や、SBOMをユーザーが作る場合、ベンダーが作る場合といった条件をいくつか設定して、実証を行ってまいりました。
三田:昨年度に行った実証の体制ですが、特定の企業さまにご協力いただきながら、GARDENというソフトウェアを用い、サプライヤーが作成SBOMをベンダーがSBOMをもらい、また、ベンダーがSBOMを作って、ユーザー企業に提供するという流れです。
シナリオも従来の部品管理を利用した場合とSBOMを手動で作成した場合、SBOMを無償ツールで作成した場合、SBOMを有償ツールで作成した場合といった、4つのシナリオに基づいてそれぞれの工数・費用などを計測しております。
こちらは参考として、それぞれのシナリオの詳細を入れております。例えばどういうツールを用いたのか、それぞれの場面でどういう対応をしたのかといったことになります。
この実証の結果、結論としてはSBOMを活用することの有効性が確認できたところです。SBOMの初期工数、ツールの導入やツールの利用のための学習といった運用工数はかかるものの、SBOMを使ったライセンス管理、脆弱性特定の作業などの工数は、従来の手作業の管理に比べて小さい結果となっており、部品数が多ければ多いほど効果が大きくなることがわかりました。
他方、実際にビジネスで活用するための課題も多く存在します。例えば諸外国における規制の動きや、特に医療機器分野や自動車分野といった産業分野では、商慣習やサプライチェーンの構造に応じたモデルを整理しておく必要があります。
そして、分野ごとのSBOMの項目、SBOMのフォーマット、部品命名規則などの環境整備の点、あるいはSBOMをそもそもどう使っていくのかといったノウハウも、まだ整備されていないところがあります。
また、先ほど触れたアメリカやEUなどにおける取扱いなど、海外との整合性を図っていくといったところの課題もあります。
三田:このような課題等を踏まえて、引き続き、規制や推奨化が見込まれる分野や、効果が大きいと思われる分野を候補に、今年度も実証を継続しております。
今年度行っている実証は、規制や推奨化が見込まれる分野である、自動車分野と医療機器分野。特に医療機器分野につきましては、かなり人命に関わるという観点もあるかと思いますが、SBOMの規制や推奨化が見込まれております。そういった分野について実証を行っております。
また、ソフトウェアの利用数が多いとSBOMの効果が大きくなることが見込まれますので、部品数が多く、OSSの利用も多いと思われるソフトウェア業界について、効果が大きいと思われる分野として実証を行っています。
これらの実証の結果を踏まえて、民間ですでに進められているようなSBOMの活用の取り組みも踏まえつつ、これらの知見を共有していきながら、実際のSBOMの活用方法を検討していくことを予定しております。また、先ほどのノウハウや標準的なモデルについても、実際のモデル作りやノウハウの作成を検討しております。
個別具体的に、それぞれの分野でどういう実証体制で検討しているのかというと、人命に関わる医療機器分野は、精度の高いSBOMが今後求められてくる可能性が考えられます。OSSの利用もそのために使用が回避される傾向があります。
また、最終的なSBOMの提供を受ける医療機関側でも、SBOMの利活用が今後求められてくるのではないかと考えられるため、精度の高いSBOMの作り方や、ユーザー側の医療機関でどう活用できるかといったところも確認しながら、実証を通して検証しております。
自動車分野はサプライチェーンの構造が深いため、このサプライチェーン上でのSBOMの共有の在り方、あるいは、処理効率化などを観点として、実証を進めております。
またソフトウェア分野はかなり広い分野にはなりますが、先ほど申し上げたとおり、OSSの知見が一番多く、OSSの利用も大きい分野ですので、SBOMの効果的な共有方法や相互運用可能なフォーマットによる作成の可能性や、あるいはどこまでSBOMの精査ができるのかといったところも含めて、実証の中で検討を進めています。
今後の予定としては、今年度も引き続き実証を進めながら、それぞれの分野ごとの効果的な在り方やノウハウ集を整理して、手引きなどを作成していければということを検討しております。
三田:最後になりますが、ソフトウェア・セキュリティに関しては、冒頭ご紹介した産業サイバーセキュリティ研究会から今年4月に産業界へのメッセージが出ておりますので、ご紹介させていただきます。
ランサムウェアやEmotet(エモテット)をはじめとしたサイバー攻撃の被害が増加傾向にありますので、各企業さまにおかれましては、組織幹部のリーダーシップのもと、以下の対策を講じて強化を努める。また被害を受けた場合の適切な対応が必要となります。
大きく4つありますが、1つ目が「サイバーセキュリティ対策の徹底」で、問題が起きた場合、「持続可能な体制を確立する」というところです。例えばインシデントが発生した場合、事業継続の観点からも体制を確立しておく必要があります。
また、「感染が確認された場合の適時報告・相談・対応」では、例えば個人情報が漏洩した場合には、個人情報保護委員会への報告や、所管省庁への適時の報告。あるいは(情報漏洩後の対策を)どうしていくかといったところで、警察やJPCERT(不正アクセスの被害などに対応するために設立された情報提供機関)への相談も必要になり、適時の対応が重要になってまいります。
また、中小企業においては、費用面でなかなか難しいところもあるかと思いますので、「サイバーセキュリティお助けサービス」という、インシデント発生時の駆けつけ対応やサイバー保険などをパッケージとして提供しているサービスを紹介していますので、そちらを活用していただくことも考えられます。
三田:最後の4点目は、「ITサービスなど提供事業者は、製品・サービスのセキュリティ対策に責任を持つ」ということです。メッセージの中に大きく3点入れておりますが、例えば顧客の情報資産やプライバシー保護のためのサービスへのセキュリティ対策の実施、あるいは重大な脆弱性が公表された場合の顧客への連絡などの対応。
また、開発・製造段階においては、認証された開発者のみが使用できる環境でのソフトや開発、ソースコードレビュー時、エラーチェックツールの利用による既知および潜在的な脆弱性の確認。
OSSなどについては特に提供元のコミュニティでの確認や、バグ、セキュリティ関連情報、サポート情報の確認が必要ということで産業界へのメッセージとして公表しております。
本日ご紹介させていただいた経済産業省のSBOMの取り組みは、まさに関係する内容でもありますので、本日の取り組み内容も参考いただきながら、セキュリティ対策の検討を進めていただければと思います。
冒頭でご説明しましたが、サイバー攻撃の拠点の拡大や多様化が進んでおります。IoT機器やソフトウェアなどが影響を受けた場合に、攻撃範囲が拡大することも想定されます。
そのため、製品事業者におかれましては、製品・サービスのセキュリティ対策に責任を持つことが必要となります。本日を含め、そういった取り組みのセミナーやご案内を参考にしていただきながら、セキュリティ対策の検討を進めていただければと思います。私からの取り組み紹介は以上となります。ご清聴ありがとうございました。
渡邊:三田さま、ご講演ありがとうございました。我が国の状況や諸外国の状況、それからいろいろな産業界の取り組み、またSBOMの実証実験についてもお話をいただきました。非常に参考になる、たくさんの情報をどうもありがとうございました。
渡邊:ここからは、みなさまお待ちかねの質問タイムになります。本日のご講演に関する質問や三田さまに聞いてみたいことなどを、Q&Aにどんどんご投稿ください。
すでに2件ほどご質問をいただいていますが、まだまだお時間ございますので、ぜひご投稿お願いいたします。今回いただいた質問は、すべて匿名で読み上げますので、ぜひストレートに聞いてみていただければと思います。
それでは、みなさまからのご質問をお待ちしている間に、3分ほどお時間をいただいて、日立ソリューションズのソリューションのご紹介をさせていただきます。どうぞみなさま、質問を書きながら聞いていただければと思います。
また、このご紹介が終わりましたら、三田さまに質問にお答えいただきますので、このままお待ちいただければと存じます。
それでは、少しだけご紹介をさせてください。日立ソリューションズのオープンソース管理ソリューションは、経験豊富なコンサルタントがお客さまのOSSの利活用をサポートするコンサルティングサービスと、先進的なOSS、SBOMツールからなるソリューションです。
豊富なソリューションメニューを取り揃えており、お客さまの課題解決をご支援いたします。
日立ソリューションズのSBOMに関する取り組み //////////////////////////////////////////////////////////////////////////
日立ソリューションズでは、お客さまがSBOMやOSSの管理を組織的に実行できるよう支援するソリューションを提供しております。10年以上の豊富な経験と実績に基づく質の高いコンサルティングサービスと、管理業務を効率化する先進的なSBOM管理ツール/OSS管理ツールの販売、導入、運用支援を行っています。
コミュニティ活動にも力を入れており、これまでのSBOM/OSS管理分野におけるさまざまな貢献が評価され、日本企業として唯一のOpenChainの公式パートナーとして認定されました。自社メディアであるブログやセミナーにより、お客さまにさまざまな情報をお届けしますので、ぜひチェックしてみてください。
株式会社日立ソリューションズ
2024.12.20
日本の約10倍がん患者が殺到し、病院はキャパオーバー ジャパンハートが描く医療の未来と、カンボジアに新病院を作る理由
2024.12.19
12万通りの「資格の組み合わせ」の中で厳選された60の項目 532の資格を持つ林雄次氏の新刊『資格のかけ算』の見所
2024.12.16
32歳で成績最下位から1年でトップ営業になれた理由 売るテクニックよりも大事な「あり方」
2023.03.21
民間宇宙開発で高まる「飛行機とロケットの衝突」の危機...どうやって回避する?
PR | 2024.12.20
モンスター化したExcelが、ある日突然崩壊 昭和のガス工事会社を生まれ変わらせた、起死回生のノーコード活用術
2024.12.12
会議で発言しやすくなる「心理的安全性」を高めるには ファシリテーションがうまい人の3つの条件
2024.12.18
「社長以外みんな儲かる給与設計」にした理由 経営者たちが語る、優秀な人材集め・会社を発展させるためのヒント
2024.12.17
面接で「後輩を指導できなさそう」と思われる人の伝え方 歳を重ねるほど重視される経験の「ノウハウ化」
2024.12.13
ファシリテーターは「しゃべらないほうがいい」理由 入山章栄氏が語る、心理的安全性の高い場を作るポイント
2024.12.10
メールのラリー回数でわかる「評価されない人」の特徴 職場での評価を下げる行動5選
Climbers Startup JAPAN EXPO 2024 - 秋 -
2024.11.20 - 2024.11.21
『主体的なキャリア形成』を考える~資格のかけ算について〜
2024.12.07 - 2024.12.07
Startup CTO of the year 2024
2024.11.19 - 2024.11.19
社員の力を引き出す経営戦略〜ひとり一人が自ら成長する組織づくり〜
2024.11.20 - 2024.11.20
「確率思考」で未来を見通す 事業を成功に導く意思決定 ~エビデンス・ベースド・マーケティング思考の調査分析で事業に有効な予測手法とは~
2024.11.05 - 2024.11.05