欧米やOSS先進企業が注目する「ソフトウェアの部品構成表」の重要性　経産省による、SBOM導入の4つのシナリオ

社会的に影響が大きかった「情報セキュリティ10大脅威」

渡邊歩氏（以下、渡邊）：「SBOMを語る3日間！ OSSマネジメントフォーラム2022」Day1となる本日は、「経産省におけるOSS及びSBOMに係る取組等について」ということで、経済産業省商務情報政策局サイバーセキュリティ課の三田さまよりご講演をいただきます。それではよろしくお願いいたします。

三田真史氏（以下、三田）：ただいまご紹介にあずかりました、経済産業省 商務情報政策局 サイバーセキュリティ課の三田と申します。本日は、経済産業省におけるOSS及びSBOMに係る取り組みについてご紹介します。

本日の紹介のメインは主に3点目、4点目の内容になります。そもそも情報セキュリティ脅威や、最近の事例でどういったものがあったのか、国内外の動きとしてどういった動きがあるのかを簡単に紹介しながら、経済産業省がサイバーセキュリティ対策に向けて、どういう検討体制を敷いているのかについて、簡単に触れます。

みなさまもご承知かと思いますが、昨今のサイバー攻撃はかなり多様化しており、よくニュースで耳にするとおり「ランサムウェア攻撃」、あるいは特定の企業を執拗に狙った「標的型攻撃」などがあります。

左下はIPA（独立行政法人 情報処理推進機構）が2022年1月に公表した「情報セキュリティ10大脅威」で、2021年に社会的に影響が大きかった事例をランキングしたものです。

その上位を見ても「ランサムウェアによる被害」、あるいは多様化するサプライチェーンを狙った弱点を突いた攻撃、また6位に関しましては、脆弱性対策の情報の公開に伴う悪用増加。

1つ前の年ではランク外だったゼロデイ攻撃についても、2022年のランキングにはランクインしてきており、かなり多種多様となってきています。

日米豪印でのサイバーセキュリティの協力体制

三田：事例を2つほど紹介いたします。ニュースなどでも目にしたことがあるかと思いますが、海外ではアメリカのパイプライン大手がランサムウェア攻撃を受けて、すべてのパイプラインが一時停止するといった事例が生じていたり。

また国内では、国立病院がランサムウェア被害を受けて、電子カルテが暗号化され閲覧不可になったり、あるいは新規患者の受け入れが停止したという被害が生じております。

6位の脆弱性に関しては、みなさまも対応などに苦慮されたところではあるかと思っております。昨年12月にオープンソースのログ出力ライブラリであるApache Log4jの脆弱性が発表されて、かなり社会的な問題になったと考えております。

こちらも広く利用されているオープンソースであり、12月は年末ということで対応に追われたケースも多いと聞いております。何回も脆弱性の注意喚起などがされていますが、影響が大きかった事例として紹介させていただいています。

こういった社会的な動きを踏まえて、国際的にも2023年5月に「日米豪印サイバーセキュリティ・パートナーシップ」といったものが立ち上がっておりまして、そちらの中でソフトウェア・セキュリティについても協力していくことが宣言されています。

どういった協力かというと、ベースライン・セキュリティ標準の国内・国際的な実施や、継続的な整合性、政府調達におけるソフトウェア・セキュリティに係る整合的な開発について協働していくこととなります。

こうした国際的な動向等も見つつ、経済産業省では産業サイバーセキュリティの研究会を立ち上げ、企業の方や有識者の方からご意見をいただきながら、国内のサイバーセキュリティ対策について検討を進めています。

こちらの研究会では、大きく3つの分野でワーキンググループが設けられています。制度・標準化に関するWG 1。経営・人材・国際に関するWG 2。またビジネスエコシステムの創造といったビジネス化に関するWG 3といった、大きく3つのWGにおいて「グローバル」をリードする、「信頼の価値」を創出する。またサプライチェーンの広がりなども踏まえて、「中小企業・地域」まで展開するといった指針のもと、検討を進めております。

今後求められる、新たなリスクへの対策

三田：具体的にどのようなサイバーセキュリティ対策が必要になってきているのかについて、当課にて策定したフレームワークを簡単に紹介いたします。

「Society5.0」については、それなりにニュースなどで目にしたことがあるかと思いますが、サーバー空間とフィジカル空間について、例えばIoT機器の利用やAIの活用、ビックデータの活用により、今までの取引関係のサプライチェーンだけではなく、間接的なつながりによる、柔軟で動的なサプライチェーンの構成が可能となってきています。

他方でつながりが広がるという観点から、サイバー攻撃の起点の拡散やサイバー空間からのフィジカル空間への影響の増大といった、新たなリスクへの対策が必要になってまいります。

こうした社会の動向などを踏まえ、当課で「サイバー・フィジカル・セキュリティ対策フレームワーク」を策定しております。サイバー空間とフィジカル空間のつながりと、フィジカル空間ですね。その3層構造について、6つの構成要素を整理した上で、必要となるサイバーセキュリティ対策の実施内容を検討し、フレームワークを策定したところです。

では、実際にフレームワークに基づいて、どういったことを具体化していくのか、実装化していくのか。ここに関しては、先ほどのWG 1の中に分野ごとのS（サブ）WGと、分野を横断したSWGがあります。こちらで各分野のガイドライン策定などを行っており、分野横断については、それぞれのレイヤーでのフレームワークやユースケースを策定しております。

「SBOM」はソフトウェアの部品構成表

三田：本日は、ソフトウェアの管理手法や脆弱性管理などの対応について検討を行っております、ソフトウェアタスクフォース（TF）についてご紹介いたします。

どのような検討を行っているのかというと、ご承知のとおりOSSの利用や依存度がかなり高まっている一方で、OSSを含んだソフトウェアの脆弱性対応、あるいはライセンス管理などの課題があります。

そのため本TFでは、ソフトウェア、特にOSSについての適切な管理手法や対脆弱性、あるいはライセンス対応について検討を行っております。本日紹介させていただくのがOSSの活用に関する部分と、SBOMの活用に関する部分の2つです。

1つ目のOSSの管理については、OSSの管理手法に関する事例集を策定しております。OSSに関する課題としては、例えばライセンスの管理や脆弱性の管理、あるいは、サプライチェーン上で（OSSを）どう扱っていくのかといったことが挙げられます。

あるいは、組織体制としてOSSに対してどういった人材育成をしていくのか。社内・社外問わずコミュニティ活動をどう活性化していくのかといったことについて、個別企業さまにヒアリングを行いながら、ポイントのある事例をまとめたものを策定いたしました。

掲載事例を挙げさせていただいていますが、例えばSBOMを使った脆弱性管理の事例ですとか、OSSの管理事例などもあります。こういった事例を参考にしていただきながら、ライセンス管理や脆弱性対応を進めていただければと考えております。

もう1つが、（本イベントの）3日間の中でのテーマになるかと思いますが、「SBOMの利活用に関する実証」も行っておりますので、こちらの取り組みもご紹介いたします。

そもそも「SBOMとは何ぞや」というところで、ご承知の方もいらっしゃるかと思いますが、簡単にご説明いたします。Software Bill Of Materialsということで、その名のとおり、ソフトウェアの部品構成表のことになります。

左下にイメージがありますが、例えばあるソフトウェアがどういう要素からなっているのか。誰が作ったbuffer（バッファ）で、バージョンがいくつなのか、誰が作ったブラウザでバージョンがいくつなのか。

そうしたコンポーネントの名称やバージョン、依存関係などの要素を表したものとなります。食品成分表がイメージとして近いかと思いますが、SBOMにより構成要素を可視化することが想定されています。

欧米で先行している、SBOM普及への動き

三田：ではSBOMを使った場合に、どういう効果があるのかというと、現状ソフトウェアについては、先ほどの要素が可視化されていない部分があります。例えば脆弱性が発覚した際に、それが使われているのかどうかという確認作業に時間がかかっているのではないかと思います。

この点、SBOMを使って要素を可視化しておくことで、脆弱性の要素が含まれているかどうかは即座に認識できますので、結果として脆弱性対応完了までの時間が短縮できるのではないかということが考えられます。

また、脆弱性対応以外の効果として、例えば、先ほどの事例集の中でも少しありますけれども、可視化しておくことによるライセンス管理への活用や、あるいは開発段階において、開発者が何を使われているかを理解していくことによって、関連するプロジェクトの理解促進につながるという効果も期待されています。

他方で課題としては、SBOMの作成方法や共有の在り方などが挙げられます。例えば、SBOMをキャロルさんが作って、それをボブさんにどう提供していくのかなど、サプライチェーン上でどう共有していくのかについては、まだまだ課題が存在します。

こちらは諸外国の動きになりますが、SBOMに関して、アメリカでは昨年の5月の大統領令の中で、ソフトウェアサプライチェーンの確保が掲げられております。

その中に「製品購入者に対してSBOMを提供すること」が記載されており、将来的には政府調達におけるSBOMの提供が考えられるところです。SBOMの要素については、昨年7月にNTIA（アメリカ合衆国国家電気通信情報管理庁）から最小要素が公表されています。

SBOMについては、大きく3つのカテゴリに分類されています。サプライヤー名やコンポーネント名、バージョン、それから依存関係などのカテゴリ、SBOMのフォーマットに関するカテゴリ、また、SBOMの運用方法のカテゴリについても、最小要素に含むものとして公表されています。

またアメリカのみならず、最近では今年9月にEUから「サイバーレジリエンス法案」が公表されており、中でも製造業者において、SBOMの作成義務が検討されております。

国内では、SBOM導入時の効果や課題を実証中

三田：このような状況もありつつ、国内ではどういう動きがあるのかという点ですが、こちらはNISC（内閣サイバーセキュリティセンター）から公表されているサイバーセキュリティ戦略2022の概要になります。

先ほどのようなサイバー空間とフィジカル空間の融合していく情勢等を考慮しつつ、自由、公正かつ安全なサイバー空間を実現していく必要があります。自由、公正かつ安全なサイバー空間の実現のために、特に強力に取り組む施策として、「サイバー・フィジカル空間の融合に対応したサイバーセキュリティ対策」として、日本でもSBOMの普及に向けた取り組みの推進等が掲げられております。

では、SBOMを導入する際の課題などをどう整理していくのか。先ほど申し上げたようにSBOMの活用によって、一定の効果が想定される一方で、やはり導入にかかるコストやSBOMの情報を開示することに対しての抵抗感などが考えられます。

そこで、実際にどうSBOMを活用すれば導入効果が大きくなり、効果的な活用につながるのかを確認するための実証を進めております。

こちらは、昨年度の経済産業省における実証ですが、効果やコストを比較して検討事項を整理しました。考えられる効果として、脆弱性特定の工数が削減や脆弱性修正までの期間などの低減、部品が可視化されていることによるライセンスの特定工数や、ライセンス違反残留リスク低減といったことが考えられます。

他方でSBOMを作るにあたっての体制構築や、ツールの環境整備や利用費用といったコストを設定しております。また比較条件として、何らかの部品管理を行っている場合や、SBOMをユーザーが作る場合、ベンダーが作る場合といった条件をいくつか設定して、実証を行ってまいりました。

SBOM導入の工数・費用を、4つのシナリオで計測

三田：昨年度に行った実証の体制ですが、特定の企業さまにご協力いただきながら、GARDENというソフトウェアを用い、サプライヤーが作成SBOMをベンダーがSBOMをもらい、また、ベンダーがSBOMを作って、ユーザー企業に提供するという流れです。

シナリオも従来の部品管理を利用した場合とSBOMを手動で作成した場合、SBOMを無償ツールで作成した場合、SBOMを有償ツールで作成した場合といった、4つのシナリオに基づいてそれぞれの工数・費用などを計測しております。

こちらは参考として、それぞれのシナリオの詳細を入れております。例えばどういうツールを用いたのか、それぞれの場面でどういう対応をしたのかといったことになります。

この実証の結果、結論としてはSBOMを活用することの有効性が確認できたところです。SBOMの初期工数、ツールの導入やツールの利用のための学習といった運用工数はかかるものの、SBOMを使ったライセンス管理、脆弱性特定の作業などの工数は、従来の手作業の管理に比べて小さい結果となっており、部品数が多ければ多いほど効果が大きくなることがわかりました。

他方、実際にビジネスで活用するための課題も多く存在します。例えば諸外国における規制の動きや、特に医療機器分野や自動車分野といった産業分野では、商慣習やサプライチェーンの構造に応じたモデルを整理しておく必要があります。

そして、分野ごとのSBOMの項目、SBOMのフォーマット、部品命名規則などの環境整備の点、あるいはSBOMをそもそもどう使っていくのかといったノウハウも、まだ整備されていないところがあります。

また、先ほど触れたアメリカやEUなどにおける取扱いなど、海外との整合性を図っていくといったところの課題もあります。

SBOMの義務化が見込まれる、自動車分野・医療機器分野

三田：このような課題等を踏まえて、引き続き、規制や推奨化が見込まれる分野や、効果が大きいと思われる分野を候補に、今年度も実証を継続しております。

今年度行っている実証は、規制や推奨化が見込まれる分野である、自動車分野と医療機器分野。特に医療機器分野につきましては、かなり人命に関わるという観点もあるかと思いますが、SBOMの規制や推奨化が見込まれております。そういった分野について実証を行っております。

また、ソフトウェアの利用数が多いとSBOMの効果が大きくなることが見込まれますので、部品数が多く、OSSの利用も多いと思われるソフトウェア業界について、効果が大きいと思われる分野として実証を行っています。

これらの実証の結果を踏まえて、民間ですでに進められているようなSBOMの活用の取り組みも踏まえつつ、これらの知見を共有していきながら、実際のSBOMの活用方法を検討していくことを予定しております。また、先ほどのノウハウや標準的なモデルについても、実際のモデル作りやノウハウの作成を検討しております。

個別具体的に、それぞれの分野でどういう実証体制で検討しているのかというと、人命に関わる医療機器分野は、精度の高いSBOMが今後求められてくる可能性が考えられます。OSSの利用もそのために使用が回避される傾向があります。

また、最終的なSBOMの提供を受ける医療機関側でも、SBOMの利活用が今後求められてくるのではないかと考えられるため、精度の高いSBOMの作り方や、ユーザー側の医療機関でどう活用できるかといったところも確認しながら、実証を通して検証しております。

自動車分野はサプライチェーンの構造が深いため、このサプライチェーン上でのSBOMの共有の在り方、あるいは、処理効率化などを観点として、実証を進めております。

またソフトウェア分野はかなり広い分野にはなりますが、先ほど申し上げたとおり、OSSの知見が一番多く、OSSの利用も大きい分野ですので、SBOMの効果的な共有方法や相互運用可能なフォーマットによる作成の可能性や、あるいはどこまでSBOMの精査ができるのかといったところも含めて、実証の中で検討を進めています。

今後の予定としては、今年度も引き続き実証を進めながら、それぞれの分野ごとの効果的な在り方やノウハウ集を整理して、手引きなどを作成していければということを検討しております。

産業界へのサイバーセキュリティ対策のアドバイス

三田：最後になりますが、ソフトウェア・セキュリティに関しては、冒頭ご紹介した産業サイバーセキュリティ研究会から今年4月に産業界へのメッセージが出ておりますので、ご紹介させていただきます。

ランサムウェアやEmotet（エモテット）をはじめとしたサイバー攻撃の被害が増加傾向にありますので、各企業さまにおかれましては、組織幹部のリーダーシップのもと、以下の対策を講じて強化を努める。また被害を受けた場合の適切な対応が必要となります。

大きく4つありますが、1つ目が「サイバーセキュリティ対策の徹底」で、問題が起きた場合、「持続可能な体制を確立する」というところです。例えばインシデントが発生した場合、事業継続の観点からも体制を確立しておく必要があります。

また、「感染が確認された場合の適時報告・相談・対応」では、例えば個人情報が漏洩した場合には、個人情報保護委員会への報告や、所管省庁への適時の報告。あるいは（情報漏洩後の対策を）どうしていくかといったところで、警察やJPCERT（不正アクセスの被害などに対応するために設立された情報提供機関）への相談も必要になり、適時の対応が重要になってまいります。

また、中小企業においては、費用面でなかなか難しいところもあるかと思いますので、「サイバーセキュリティお助けサービス」という、インシデント発生時の駆けつけ対応やサイバー保険などをパッケージとして提供しているサービスを紹介していますので、そちらを活用していただくことも考えられます。

ITサービス提供事業者に求められる、製品・サービスのセキュリティ

三田：最後の4点目は、「ITサービスなど提供事業者は、製品・サービスのセキュリティ対策に責任を持つ」ということです。メッセージの中に大きく3点入れておりますが、例えば顧客の情報資産やプライバシー保護のためのサービスへのセキュリティ対策の実施、あるいは重大な脆弱性が公表された場合の顧客への連絡などの対応。

また、開発・製造段階においては、認証された開発者のみが使用できる環境でのソフトや開発、ソースコードレビュー時、エラーチェックツールの利用による既知および潜在的な脆弱性の確認。

OSSなどについては特に提供元のコミュニティでの確認や、バグ、セキュリティ関連情報、サポート情報の確認が必要ということで産業界へのメッセージとして公表しております。

本日ご紹介させていただいた経済産業省のSBOMの取り組みは、まさに関係する内容でもありますので、本日の取り組み内容も参考いただきながら、セキュリティ対策の検討を進めていただければと思います。

冒頭でご説明しましたが、サイバー攻撃の拠点の拡大や多様化が進んでおります。IoT機器やソフトウェアなどが影響を受けた場合に、攻撃範囲が拡大することも想定されます。

そのため、製品事業者におかれましては、製品・サービスのセキュリティ対策に責任を持つことが必要となります。本日を含め、そういった取り組みのセミナーやご案内を参考にしていただきながら、セキュリティ対策の検討を進めていただければと思います。私からの取り組み紹介は以上となります。ご清聴ありがとうございました。

渡邊：三田さま、ご講演ありがとうございました。我が国の状況や諸外国の状況、それからいろいろな産業界の取り組み、またSBOMの実証実験についてもお話をいただきました。非常に参考になる、たくさんの情報をどうもありがとうございました。

SBOMの導入・活用を支援する日立ソリューションズ

渡邊：ここからは、みなさまお待ちかねの質問タイムになります。本日のご講演に関する質問や三田さまに聞いてみたいことなどを、Q&Aにどんどんご投稿ください。

すでに2件ほどご質問をいただいていますが、まだまだお時間ございますので、ぜひご投稿お願いいたします。今回いただいた質問は、すべて匿名で読み上げますので、ぜひストレートに聞いてみていただければと思います。

それでは、みなさまからのご質問をお待ちしている間に、3分ほどお時間をいただいて、日立ソリューションズのソリューションのご紹介をさせていただきます。どうぞみなさま、質問を書きながら聞いていただければと思います。

また、このご紹介が終わりましたら、三田さまに質問にお答えいただきますので、このままお待ちいただければと存じます。

それでは、少しだけご紹介をさせてください。日立ソリューションズのオープンソース管理ソリューションは、経験豊富なコンサルタントがお客さまのOSSの利活用をサポートするコンサルティングサービスと、先進的なOSS、SBOMツールからなるソリューションです。

豊富なソリューションメニューを取り揃えており、お客さまの課題解決をご支援いたします。