日本でもSBOM整備は義務化されるのか？ OSS管理をめぐる、国際動向と今後の方向性

脆弱性のリスクが高いOSSとは

渡邊歩氏（以下、渡邊）：みなさま、ご質問を投稿いただけましたでしょうか。それでは三田さま、もう一度お戻りいただきまして、みなさまからのご質問にお答えいただきたいと思います。

実は非常にたくさんご質問をいただいておりますので、みなさまが本当に興味のある分野ということがわかるかと思います。それでは1つずつ、三田さまにご回答いただきます。

まず1つ目のご質問です。「OSSの中でも脆弱性の対応頻度の高いものは、SBOMでトレースする意義が高いと思うのですが、そのようなOSSごとの更新頻度、脆弱性の対応頻度などの情報はお持ちではありませんか？」。こちらはいかがでしょうか。

三田真史氏（以下、三田）：「OSSごとの」というところで、脆弱性頻度が高いものは確かに一部あるかなと思っております。SBOMなどを使って可視化していくことは重要だと思いますが、例えば脆弱性情報が出た場合に、影響度合いが大きいか小さいかといった判断が入るかなと思います。

関連情報を含めて、脆弱性に関する情報を日頃から集めたり、あるいは脆弱性の頻度が高いというか、狙われやすいというところで言いますと、例えばOSSのコミュニティの活性化が萎んでしまっていたり、ぜんぜん管理されていないところは、セキュリティ面での問題が生じる懸念があります。そのようなOSSは使用しないとか、使用していたとしても常に情報を把握できるようにしておくといった対応が考えられます。

渡邊：ありがとうございます。確かにそうですね。「EOL」という言葉がありますが、End Of Lifeになってしまったものは、コミュニティのほうでもなかなか対策するのが難しいので、今おっしゃったようにそういうところが狙われやすいという観点があるのかもしれません。

今、お話しいただいたところでは、やはり選定するところがすごく大事なのかなという印象を受けました。活性化しているコミュニティであること。それから、脆弱性の対応がタイムリーに行われているようなオープンソースを選んで使うところがポイントだと理解しました。

中小企業にとっては、OSS管理ツールの導入コストや人員が負担

渡邊：それでは2つ目の質問です。「三田さまがおっしゃられているとおり、OSS管理ツールそのものの導入コストが、中小企業にとって大きな負担となっています。事業会社ではツール価格の問題だけではなく、ツール利用のためのサーバー管理要員が捻出できないといったことも起きています」。

「そういった背景を踏まえて、『サイバーセキュリティお助けサービス』以外に、国として今後どのような施策を行っていけばよいか、アイデアレベルでかまいませんので、考えられていることがあれば共有いただけますでしょうか」。

かなり大きなお悩みのご質問ですよね。お願いいたします。

三田：そうですね。多分に個人的な意見になってしまいますが、おっしゃるとおり中小企業の中で、特にコスト面で脆弱性対応に人が足りていなかたり、予算を掛けられないといった現状があるかと思っております。

そういう意味でも、経済産業省としても脆弱性対応への効率化などを、今後検討していかないといけないかなと考えております。例えば民間でも、OSSコミュニティの中でOSSをなるべく可視化してこうという動きもあります。

そうした動きをウォッチしながら、中小企業さまだけで完結するのではなく、政府としても（民間の）コミュニティの支援や協調していくといったことは完全なアイデアベースですが、考えられるかなと思っております。

渡邊：なるほど。横のつながりがけっこう大事ということでしょうか。情報共有の場や「こういった対策をすればいいよ」といったところは、自分だけで投資をするのではないことが、1つポイントになるのかなと思いました。ありがとうございます。

サイバー犯罪は、回り回って被害を受けることも

渡邊：それでは、次のご質問に行きたいと思います。「サイバーセキュリティ対策についての産業界へのメッセージは、どの程度の強制力を持っていますでしょうか。また将来的に規制化するなどの計画はありますでしょうか」という鋭いご質問です。

三田：なかなかお答えが難しいところではありますが、何か義務が発生したりするものではないですが、他方で、私の取り組み事例の中でも紹介させていただいたとおり、サイバー攻撃が起こった場合に、サプライチェーンが拡大していて、自社だけではなくて取引関係先やその先にも影響するものです。

やはり自社以外にも影響が出るという理解のもと、セキュリティ対策を実施していただくことが、結果として自社含め社会全体にとってもメリットになるかなと思っております。

渡邊：ご回答ありがとうございます。強制力ということではなかなか難しいところですが、一方で恐らく本日の資料のような感じで、「経済産業省さんからこんなメッセージが出ていますよ」ということに関しては、みなさまの会社のマネジメント層に対するアピールとして、「ちょっと強制力があるみたいですよ」とお伝えいただけるものだなと思いました。そうした活用方法もあるのかなと思いながら聞いておりました。

また、今のところは絶対に義務化というものではないというコメントでしたけれども、セキュリティ対策という点では、サプライチェーンにいるみなさまのためになることであるのは間違いないことで、みなさまで協力するべきところかなと思いました。

では、次のご質問になります。「今回の実証実験では、SBOMの有効性が確認されたと思いますが、これはオンプレ（オンプレミス）のシステムでの結果でしょうか？」。

三田：オンプレかクラウドかというご質問かと思いますが、今回の実証はオンプレの結果になります。

渡邊：クラウドになると「クラウドの基盤のところに入っている脆弱性はどうなんだ」とか、また違った観点も出てくるのかもしれません。ありがとうございます。

国内の官公庁系のソフトの調達要件への影響は？

渡邊：本当にたくさんのご質問をいただいておりますね。ありがとうございます。続いては「SBOMをはじめとして北米、欧州の官公庁系のソフト製品の調達要件が強化されているという印象があります」。これはコメントですね。三田さんご自身はそういった印象をお持ちですか？

三田：そうですね。アメリカではSolarWinds事件という、政府機関にもかなり影響した事件が発生したことなどもあり、政府調達などについても強化していく動きがあるという印象を持っています。

欧州につきましては、サイバーレジリエンス法案の中では、政府調達に限らず広く一般にというところもあります。

渡邊：ありがとうございます。私は個人的にもう1つ、これに関連する質問をさせていただきたいんですけれども。北米や欧州の官公庁システムのソフト製品の調達要件強化に関して、日本はいかがですか？　日本の官公庁系のソフト製品調達要件に関して、SBOMに関する規制や要求が強化されたということはありますでしょうか。

三田：担当外の部分もありますので、私自身が認識している限りになりますが、現時点で政府調達においてSBOMの提供義務などはありません。

そもそもSBOMの効果や、どのように活用していくかについて実証しているところなので、実証結果なども踏まえて、活用の在り方などの議論を深めていくことになろうかと思います。

渡邊：わかりました。なるほど。もしかしたら実証の結果に影響される可能性があるということですね。ありがとうございます。

SBOMを作る前に気をつけたいこと

渡邊：それでは次のご質問に行きます。「SBOMの作り方のフロー、作成時の注意点を現在把握している限りで教えていただきたいです」。わりと具体的ですね。SBOMの作り方についてはいかがでしょうか。

三田：現時点での注意点と言いますか、例えば、まず「ソフトウェア対象システムがどうなっているのか」というところの理解がないと、SBOMを作るにしても非効率となるなど、留意しないといけない部分はあります。

例えば、ツールを使ってSBOMを作るにしても、対象範囲をどこまでとするのか。あるいは対象システムの構成要素がこうなっているから、ここはSBOMが作れそうだとか。そういった考えが出てきますので、まずはソフトウェアの管理の現状などを適切に把握していくことが大事かと思います。

また、SBOMのツールなどを使う場合の注意点としては、SBOMを作る目的なども視野に入れながら、ツールを選定するなどしていくことが必要かなと思っております。

渡邊：そうですね。対象範囲については、SBOMを作るにしても、まるっとシステム全体というのはなかなか難しいところもありますので。例えば「このモジュールだけやってみよう」「まず自分の作ったところから始めてみよう」というかたち。範囲を区切って、まずそこのSBOMを作ってみるというアプローチがあると思いますね。

先ほど「クラウドですか？　オンプレですか？」という話もありましたけど、クラウド基盤全部となると、本当に大変な作業になってきます。「どこを対象に作るか」というスコープのお話が大事なのかなというところですね。

また、ツールのところで目的が大事とおっしゃいましたが、「脆弱性（対策）が目的なのか、ライセンス（管理）が目的なのか」で、また違ってきたりするのかなと思います。

あとはSBOMの作り方、フローというところなので、「具体的にどうやって作るの？」に関しては、ちょうどこのセミナーの3日目に、具体的にツールを使ってSBOMを作るところのセッションもございますので、もしよろしければぜひそちらもご覧ください。

SBOM導入の効果は、脆弱性やコンプラ対応だけではない

渡邊：では次の質問に行きたいと思います。「SBOMの対象はFOSS（Free and Open Source Software）のみという理解で正しいでしょうか。米国、欧州の法令に準拠する場合、有償やサードパーティのソフトウェアについても、SBOMとして報告が必要となるのでしょうか」。

三田：対象ということで、先ほど日本での規制の動きはご説明しましたが、SBOMといったところで、単純にOSSだけではなくて、自社製品の要素といったところも当然構成要素にはなってきます。そういったことも含めての要素になるかなと思っております。

目的が脆弱性対応かライセンス管理かというところもありますので、一覧化して可視化しておくという観点からすると、FOSS以外についても対象となってくるかと思います。

渡邊：確かに、先ほど例で見せていただいたSBOMの例に関しても、OSSだけではなく、誰々さんが作ったこのモジュールという記載もあったかと思います。

では、次のご質問に行きたいと思います。「昨今話題となっているSBOMとして表現されるのは、OSSが中心であり、それにより脆弱性への対応迅速化、ライセンスコンプライアンス対応の迅速化を達成しようという動きがあるという認識です」。

「OSSだけではなく、OSS以外のソフトウェアコンポーネント、SBOMとして表現し、OSSをSBOMとして表現した時に、達成できるであろう目的以外の目的を達成しようという動きはあるのでしょうか」。先ほどと関連したご質問ですが、いかがでしょう。

三田：そうですね。SBOMによる効果のところで多少触れましたが、ライセンス管理、脆弱性管理といった観点もありますが、例えば海外ではソフトウェア要素が開発者間で共有・可視化されることによって、開発自体の理解が深まるといった効果も期待されております。

そうすると端的にOSSだけではなく、自社製品やサードパーティ製品の可視化によって、開発の効率化や品質保証につながってくるのではないかと考えられます。

渡邊：なるほど、そういうことですね。

国内でも、SBOM整備の推奨化が検討される見込み

渡邊：次はご質問というよりは、「欲しい」というお話かもしれないんですけれども。「本日ご説明いただいた資料は経済産業省のホームページからダウンロードできますか？　それからSBOM実証の一部結果についての資料は公開されていますでしょうか」。今日の資料は、どういったところから入手できますでしょうか？

三田：「経済産業省　ソフトウェアタスクフォース」で検索いただければと思いますが、本日ご紹介させていただいたようなSBOMの（実証の）結果や今後の取り組みなどもそちらで公開しておりますので、ぜひご参照いただければと思います。

渡邊：ぜひインターネットで検索してみてください。私は探す時にいつもちょっと困るんですけど、「経済産業省　SBOM」や「SBOM実証実験」といったキーワードでGoogle検索すると、公開されているドキュメントがヒットしたりします。

次は「医療機器分野において、SBOMに関する規制、推奨化が開始するのがいつ頃の予定でしょうか」というご質問です。おわかりでしたら、教えていただけますでしょうか。

三田：私が把握している限りでは、国際的なIMDRF（国際医療機器規制当局フォーラム）の追補ガイダンスが来年4月頃公表される予定です。そのドラフト段階ではSBOMについても触れられているので、来年度くらいから国際的には推奨化が進んでくるかなと思っております。

国内もそれに準拠して来年度以降にSBOMの推奨化が検討されるのではないかなと見込まれております。

渡邊：そんなに先の話じゃないんですね。次も制度化についてのお話です。やはりこのあたりはみなさんも、すごくご興味おありかと思います。「日本ではSBOMが法律などで必須化、制度化される見通しでしょうか。早ければいつ頃になるでしょうか」。

同じようなご質問が他にもありまして、「日本においてSBOM整備の義務化となる予定はありますでしょうか。またある場合、想定のスケジュールは決まっておりますでしょうか」。

三田：医療機器分野は来年度以降ぐらいではないかというお話をいたしました。他の分野でも例えば重要性が高い分野などについては、利活用の検討がされてくるのかなと個人的には思っております。

渡邊：なるほど。ゆくゆくはという感じなんですかね。ありがとうございます。

サイバーセキュリティ対策強化で参考になる情報源

渡邊：次のご質問になります。「そのような（法整備や業界規格といった）調達要件の強化を事前に把握し、開発を進めることはビジネス上重要であると考えています。そういった調達要件の強化、特にサイバーセキュリティ対策強化について、情報の監視、提供されているサイトをご存じないでしょうか」というご質問になります。

三田：例えば、政府の情報サイトとしては、政府調達や政府のサイバーセキュリティの取り組みでは、NISC（内閣サイバーセキュリティセンター）のホームページが参考になると思います。あるいは、企業におけるサイバーセキュリティ対策で気をつけるべきところは経済産業省（のサイト）ですとか、中小企業のセキュリティ対策のガイダンスや、どういったセキュリティに対する脅威があるのかといった情報提供はIPA（独立行政法人 情報処理推進機構）を参考にしていただくのがいいのかなと思います。

渡邊：みなさまが所属されている業界団体さんによっても、個別のポリシーがあるケースもあるのかなと思います。まず国の指針としては、例えば経済産業省さんが出されているドキュメントやIPAですね。個別のものは業界団体さんの動向をご覧になるといいかなと思います。

次は具体的な質問になりますが、SBOMの作成と活用を進めている段階の会社さまからです。「各国のセキュリティに関係する法令を適応するためには、具体的にどのような感じのSBOMを準備しておけばよいのでしょうか。またそれらを解決する場合に、参考になるサイトやコミュニティなどがございましたら、共有していただけると助かります」。

三田：なかなか難しいところですが、例えば、今日ご紹介でさせていただいたような米国における最小要素の内容、あるいは経済産業省における取り組みが1つ参考になるかなと思います。

また、法案によってもかなり各国で動きが違うと思いますので、まずはSBOMを作る環境の整備を進めつつ、具体的にどう作っていくかは、当省の取り組みや他省庁でも多少の動きがありますので、そういったところのサイトを参考にしていただければと思います。

日本の業界方針は今後どうなる？

渡邊：私、またこの質問に乗っかってお聞きしてもいいでしょうか（笑）。SBOMの最小構成、構成要素があるという話について、日本ではやはり米国（の方針）を気にしておけばいいんでしょうか。

日本の業界方針も米国の動きにアラインしていくような感じになるんでしょうか。それとも、ぜんぜん違った最小構成が別に定義される可能性もあるんでしょうか。

三田：そうですね、1つの目安にはなるかと思っております。他方でEUですと、サイバーレジリエンス法案の中では、SBOMの要件などについては、欧州委員会が決定するといった動きもありますので、国際的に調和していく必要があると思います。

当省で進めているSBOMの実証においても、効果的な在り方が検討できればと思っております。

渡邊：なるほど、そういうことですね。どこを気にしておけばいいのかというところは、私自身も気になっており、ご質問をいただくこともあるので聞いてみたかったんです。ありがとうございます。

国が主導して、脆弱性の対応への効率化・自動化を検討

渡邊：時間的にこれが最後になると思いますが、ご質問を読ませていただきます。「できれば国が主導して、SBOM作成ツールの作成・選定・提供、要請情報のメンテナンスや（Vexを使った）脆弱性情報などを提供するといった枠組みを用意しなければ、現実的にSBOMは定着しないのではないかと思います。そういった検討は行われている、または行う予定はありますでしょうか」というご質問です。

三田：おっしゃるとおり、脆弱性への対応は、かなり工数がかかるところもありまして。脆弱性の対応への効率化、自動化についても検討していかないといけないところもあります。

まさに脆弱性管理の話ですとか、Vexを今後どう活用していくかといったところは、ソフトウェアタスクフォースなどの有識者の方々のご意見も踏まえながら、活用を検討していくことを予定しております。

どういうふうにやっていくかというところは、委員やタスクフォースでの議論を踏まえて検討していく想定でおります。

渡邊：まだまだお答えできていない質問がたくさんあるんですけれども、時間の関係で回答はここまでといたします。ご質問いただいたみなさま、どうもありがとうございました。本日回答できなかったご質問は、後日回答をうかがいまして、我々日立ソリューションズのWebサイトに掲載できればと考えておりますので、楽しみになさってください。

それでは三田さま、最後にご聴講いただいているみなさまに、何か一言メッセージなどいただけますでしょうか。お願いいたします。

三田：本日、取り組み紹介についてお話いたしました。いろいろな参加者の方がいらっしゃって、SBOMへの関心が高まってきていることは、大変ありがたいことでもあるのかなと思っております。

産業界のメッセージでも触れましたが、まずはどうセキュアなソフトウェアを作っていくかが1つの大きな問題になると思っております。SBOMは、その1つの手段という位置づけだと思っておりますので、まずはセキュアな開発や製品製造といった大きな目的を目指して、政府、民間共に進んでいければと思っておりますので、どうぞよろしくお願いいたします。

渡邊：三田さま、本日はどうもありがとうございました。