先日、グレープシステム様の「オープンソースソフトウェアセミナー!」でSBOMに関する講演をおこないました。講演本体の録画を公開していますので興味のある方はご覧ください。講演を終えた後には、モデレーターのグレープシステム鈴木様と会話形式で、聴講者の皆様からの質問にお答えしました。本ブログでは、その際にいただいた質問と、それに対する私の回答のサマリーを改めて掲載します。核心に触れる質問を数多く頂戴し、私も詳しく回答しましたので、参考にしていただければ幸いです。
質問と回答
Q:SBOMに関する各企業の興味の度合いについて教えてください
A:
昨年ごろから、お客さまから「SBOMをやりたい」というご相談を徐々にいただくようになりました。最近はご相談やお問い合わせが顕著に増えており、皆さんがSBOMというものにご興味を持たれていることを日々、実感しています。最近は、「うちの会社も、SBOMをやっておかないとまずいな」という感じになってきている気がします。
Q:SBOMの普及について、国ごとや業界ごとの温度差はありますか?
A:
まず国ごとの状況について、米国が進んでいるのは間違いないと思います。大統領令、大手デジタルプラットフォーマー企業の動向など、先に進んでいるなと感じており、動向を注視しています。また、米国では、2018年ごろから既にオートモーティブ、ヘルスケア、電力の業界の企業がそれぞれの業界におけるSBOMのPoCの活動をおこなっており、早い段階から産業界を巻き込んで議論が進んでいるところも、素晴らしいことだと思っています。日本でも、経済産業省がサイバーセキュリティの観点でSBOMに関する検討を進めています。
日本ではやはり自動車の業界の動きが早いと思います。サプライチェーン全体でSBOMを流通させようという動きが出てきています。また、標準化という点ではヘルスケア業界も、進んでいると思います。
Q:自動車業界での普及は、自発的なものなのか、それともOEMからの指示なのでしょうか?
A:
どちらかというと、サプライチェーンの下流、製品の最終頒布者であるOEMから、サプライチェーンの上流、サプライヤーに対してSBOM作成と提供を依頼しているという構図です。今のようにSBOMという言葉が有名になるずっと前から、例えば欧州の完成車メーカーからサプライヤーに対してソフトウェア構成表(当時はSBOMという名前ではなかった)の提供を依頼している、という話はよく聞いていました。発注や納品時の条件になっているレベルの依頼です。
Q:企業の中のどのような立場、職種の人がSBOMに対して課題感を持っているのでしょうか?
A:
以前は、SBOMは主にコンプライアンス、ライセンスリスククリアランスの目的で使われていたため、関心を持たれるのは知財や法務、コンプライアンスの取り纏め部署の方が多かったですが、最近はSBOMをセキュリティ対策に使う企業が増えてきたため、現場が作ってくれたSBOMをセキュリティ対策に使用する、という話でセキュリティ部門やPSIRTの方からご相談をいただく機会も増えています。ツールなどを活用してSBOMを作りたいという具体的なご相談をいただくのは、エンジニア、ソフトウェアを開発し提供する立場の方が多く、部署としては、開発部門の方です。
Q:SBOMの作成には、やはりツールを使う方が良いのでしょうか?
A:
講演中に説明したとおり、コンポーネント数が355個以上ある場合は、ツールを使った方が低コストでSBOMを生成できるという実証実験のデータがあります。355個というのはそんなに多い数字ではなく、ある程度の規模のソフトウェアであれば軽くこのぐらいは使うと思います。また、作成したSBOMを将来的に更新したり、再発行したりする可能性があることを考えると、やはりツールを使う方が現実的だと考えます。効率やコストだけではなく精度の面でも、手動で作成するのには限界があります。
ツールにもいろいろな種類がありますので、使いやすく、ご自身が作成したいSBOMに最適なものを見つけて活用してみてください。個人的にポイントだと考えているのは、主要なSBOMフォーマットのいずれにも対応できるような汎用性のあるものを選ぶこと、です。
Q:今後の課題として、業界内相互のリテラシーの問題を挙げていましたが、具体的にどういうことですか?
A:
SBOMを開示する側と受領する側の認識に相違があったり、理解が進んでいなかったりする場合、どこまで情報を開示するかで揉めたり、開示した情報に対して合理性のない(無茶な)対応を求められたりする懸念があると思います。重要な情報を開示することになるので、その行為に対するきちんとした評価・対応と見返り、正しい目的で使われる保証があるべきだと、個人的には考えます。
Q:SBOMを提供したことがきっかけで、検収してもらえないなどのトラブルになることはありませんか?
A:
例えば、サプライヤーが開発したソフトウェアの納品時にSBOMを顧客に提供したところ、GPLライセンスのOSSが使用されていることがわかったため検収拒否をされるようなケースが無いか、という質問でした。実際問題としてこのような事例は発生するだろうとは思いますが、それはSBOMの正しい使い方ではありません。この例の場合、もし発注時に使用NGのライセンスが契約で定められていたのであれば、それに違反したということで検収拒否することは問題なく、逆に発注時に何も指定がなかったのであれば、それだけを理由に検収拒否することはできないと思います。
このように、事前の取り決めこそが大切であって、その取り決めどおりにソフトウェアが開発されているかを確認するためにSBOMを参照する、ということであればそれは本来のSBOMの使い方です。
Q:具体的にどのような企業においてSBOMの活用が始まっているのですか?
A:
企業規模でいうと、やはり大企業の方がSBOMの活用が進んでいる傾向がありますが、これは「公表されている事例の数」が多いだけかもしれないので、中小企業が遅れているということでは必ずしもなく、規模の小さい組織の方が新しいことに取り組みやすいため、むしろ大企業よりも身軽に取り入れていらっしゃるかもしれません。
具体的な企業名、業種などの情報としては、経済産業省の「OSSの利活用及びそのセキュリティ確保に向けた管理手法に関する事例集」というレポートが参考になります。日本企業20社の事例が掲載されており、その中でSBOMの作成や活用についても言及されています。
Q:企業内のSBOMの活用やプロセス開発のコンサルテーションをしてもらえますか?
A:
我々のコンサルテーションは、お客さまの既存プロセスを尊重し、従来のやり方に順応しやすいプロセスを構築することを大切にしています。このため、標準的なやり方、ベストプラクティス、我々自身が社内でおこなっていること、お客さまやコミュニティからシェアされた情報などを総合的に取り入れつつ、勘所を踏まえて、それぞれのお客さまに合った最適なプロセスを提案します。お気軽にご相談ください。
おわりに
セミナー当日は持ち時間45分ということで、少々端折ってお話した部分もありました。まだまだお話ししたいこと、シェアしたい情報がたくさんありますので、またこのような機会があれば嬉しく思います。録画を見ていただいて、もっと詳しく聞きたい、もう一度話してほしい、などのご要望があればお気軽にご連絡ください!