梶浦敏範【公式】ブログ

デジタル社会の健全な発展を目指す研究者です。AI、DX、データ活用、セキュリティなどの国際事情、今後の見通しや懸念をお伝えします。あくまで個人の見解であり、所属する団体等の意見ではないことをお断りしておきます。

ソフトウェア管理台帳SBOM(後編)

 実は「Apache Log4j」事件以前から、ソフトウェア管理台帳を作って利用しようという話はあった。米国バイデン政権は、2021年5月のサイバーセキュリティ強化に関する大統領令で、ソフトウェアのサプライチェーン強化を謳いSBOM(Software Bill of Materials)に言及している。

 

 SBOMがまさに上記の管理台帳にあたるのだが、膨大過ぎる対象を登録することができるとは、多くの関係者が考えていなかった。しかし大統領令に触れられたことから、SBOM登録は少なくとも米国政府調達の要件にはなると思われ、前向きに考える人が多くなった。この管理台帳には、次の項目が集約されている。

 

・台帳に記載した人の名前

・ソフトウェアの供給者名

・ソフトウェア(コンポーネント)名

・バージョン情報

コンポーネントハッシュ値

・同識別子

・関係(本体か構成要素か等)

 

    

 

 これに発見された脆弱性情報データベースが付属していて、ソフトウェア(コンポーネント)をどう利用しているかが、サプライヤー・最終ベンダー・ユーザらで共有できるわけだ。他者が開発したソフトウェアを利用する場合、

 

脆弱性に気付かず使ってしまう

・有償か無償かが分からない

・ライセンスにあたっての特別な要件が見えない

 

 などの問題があったが、このような台帳が整備されていれば、安心して利用できる。ただ実際問題として、全てのソフトウェアを登録することは不可能だ。登録ソフトウェアが限定されている現状では、最終ベンダーがソフトウェア構造分析ツールを使って脆弱性情報を集めるのが次善の策とも言われている。

 

 生成AIはプログラミングやそのデバッグも可能である。生成AIを使って既存のソフトウェア(コンポーネント)を精査し、SBOM登録することもできないかと考えるのだが。