EUサイバーレジリエンス法におけるSBOM対応
EUサイバーレジリエンス法におけるSBOM対応
- ※このページは2024年9月時点の情報をもとに作成しています。
EUサイバーレジリエンス法(Cyber Resilience Act、以下「CRA」)は、欧州連合が提唱するサイバーセキュリティに関する規制です。
欧州向けにデジタル製品を販売する製造業者が対象となっており、内容としてSBOM対応などが求められています。
このページでは、CRAにおけるSBOM対応に焦点を絞って情報をまとめます。
※CRAの全般的な要素(対象範囲、タイムラインなど)については触れておりませんのでご承知おきください。
対象読者
- CRA対応に取り組まれている方
- CRAで求められるSBOM対応の詳細を知りたい方
- SBOMの基本的な知識がある方
CRAにおけるSBOM関連の要件
それではCRAの内容からSBOM関連の要件について見ていきましょう。
まずCRAにはVulnerability Handling Requirements(脆弱性処理要件)が存在します。本要件としてSBOMに関する記載があります。
Manufacturers of products with digital elements shall:
(1) identify and document vulnerabilities and components contained in products with digital elements, including by drawing up a software bill of materials in a commonly used and machine-readable format covering at the very least the top-level dependencies of the products;
デジタル要素を含む製品の製造業者は、次の事項を実施しなければなりません。
(1) デジタル要素を含む製品に含まれる脆弱性とコンポーネントを特定し、文書化します。これには、少なくとも製品の最上位レベルの依存関係を網羅する、一般的に使用され、機械可読な形式でソフトウェア部品表を作成することも含まれます。
また「文書化」というキーワードに関連しますが、CRAではTechnical Documentation(技術文書)の作成も求められており、この一部としてSBOMおよび脆弱性処理のプロセスなどを文書化することが求められています。
The technical documentation referred to in Article 31 shall contain at least the following information, as applicable to the relevant product with digital elements:
2. a description of the design, development and production of the product with digital elements and vulnerability handling processes, including:
(b) necessary information and specifications of the vulnerability handling processes put in place by the manufacturer, including the software bill of materials, the coordinated vulnerability disclosure policy, evidence of the provision of a contact address for the reporting of the vulnerabilities and a description of the technical solutions chosen for the secure distribution of updates;
8. where applicable, the software bill of materials, further to a reasoned request from a market surveillance authority provided that it is necessary in order for this authority to be able to check compliance with the essential requirements set out in Annex I.
第 31 条で言及されている技術文書には、デジタル要素を含む関連製品に該当する以下の情報が少なくとも含まれているものとする。
2. デジタル要素を含む製品の設計、開発、製造、および脆弱性処理プロセスの説明。これには以下が含まれる。
(b) 製造業者が導入した脆弱性処理プロセスの必要な情報および仕様。これには、ソフトウェア部品表、調整された脆弱性開示ポリシー、脆弱性の報告用の連絡先の提供の証拠、および更新の安全な配布のために選択された技術的ソリューションの説明が含まれる。
8. 該当する場合、ソフトウェア部品表。市場監視当局が附属書Ⅰに定める必須要件への準拠を確認するために必要な場合で、市場監視当局からの合理的な要請があれば。
またこれらの文書は当局の要請に応じて提出することが求められています。
22. Manufacturers shall, upon a reasoned request from a market surveillance authority, provide that authority, in a language which can be easily understood by that authority, with all the information and documentation, in paper or electronic form, necessary to demonstrate the conformity of the product with digital elements and of the processes put in place by the manufacturer with the essential requirements set out in Annex I.
22. 製造業者は、市場監視当局からの合理的な要請があった場合、デジタル要素を含む製品および製造業者が実施したプロセスが附属書Ⅰに定める必須要件に準拠していることを証明するために必要なすべての情報および文書を、その当局が容易に理解できる言語で、紙または電子形式でその当局に提供するものとします。
まとめると、おおむね以下のようなことが求められていると考えることができます。
- SBOMを作成すること
- SBOMと脆弱性処理に関するプロセスを文書化すること
- 当局から要請があった場合にSBOMを提供できる状態にしておくこと
どのようにSBOM対応をおこなえばよいか
それではどのようにしてSBOM対応を進めればよいでしょうか。実は、上記の要件の表現を見てもわかるとおり、CRAにはSBOM対応の方法について具体的な詳細がはっきりと書かれていません。特に、CRAの中には以下のような記載もあることから、SBOMについての詳細はこれから明確化される可能性もあります。
24. The Commission may, by means of implementing acts, taking into account European or international standards and best practices, specify the format and elements of the software bill of materials set out in Annex I, Part II, point (1). Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 62(2).
24.欧州委員会は、欧州規格または国際規格およびベストプラクティスを考慮し、附属書I第II部第(1)項に定めるソフトウェア部品表の書式および要素を、実施法によって規定することができる。これらの実施法は、第62条(2)に言及された審査手続きに従って採択されるものとする。
CRA準拠のためのSBOM対応に関する考察
SBOM対応は一朝一夕で達成できるものではないため、早めに準備を始めておくことが推奨されます。分かっている範囲の情報のみで準備を進めていくことになりますが、準備において必要な観点をいくつか考察します。
SBOMの粒度(依存関係の深さ)
SBOM対応を考えるうえでは、まず「どこまで細かくコンポーネント(ソフトウェア部品)をSBOMに掲載するか」という点が問題になります。
CRAでは「少なくとも製品の最上位レベルの依存関係を網羅する」という表現が使われているため、製品に対して直接的に利用(依存)しているコンポーネントは最低限SBOMに掲載する必要があります。
またCRAでは「脆弱性に遅滞なく対応すること」も要件にあることから、ほとんどのソフトウェアにおいては間接的に利用されているコンポーネントも事前に把握しなければならないと考えられます。2021年に起きたLog4jの事件の際、間接的な依存コンポーネントを含めて把握していなかった企業は、調査に多くの時間を要しました。この観点から、「脆弱性に遅滞なく対応すること」の達成のためには、間接的な依存コンポーネントを含めたSBOM作成がほぼ必須と考えて差支えないと考えます。
SBOMのフォーマット(形式)
CRAの脆弱性処理要件において、SBOMのフォーマットは「一般的に使用され、機械可読な形式」という表現が使われています。これに関しては、標準SBOMフォーマットとして著名なSPDXやCycloneDXの形式でSBOMを作成できるとよいのではないかと想定されます。
なおSPDXやCycloneDXにはバージョンが存在しますが、どのバージョンにすべきかはCRAの内容からは読み取ることができません。できるだけ最新のバージョンに追従してSBOMを作成しておくことが理想的かと思われます。
SBOMのデータフィールド
データフィードについては、CRAの内容からは判断がつきませんので、ほかのガイドラインなどで示されているものを参考に準備を進めると良いかと思われます。
まずSBOMのデータフィールドとして参照されやすいものとしては、NTIAのminimum elementsがあります。こちらで指定されるデータフィールドを掲載したSBOMであれば基本的な項目はカバーできていると考えられます。
またCRAがEUの規制であることを考慮すると、ドイツのBSIが発行している技術ガイドラインTR-03183(製造業者および製品のサイバーレジリエンス要件)の内容が今後CRAに反映されていく可能性も考えられます。本ガイドラインではSBOMに関する一連の推奨事項が記載されており、データフィールドに関してはNTIAのminimum elementsよりも多くの項目が列挙されています。可能であればこの辺りまで考慮してもよいかもしれません。
さいごに
日立ソリューションズでは、CRA対応のコンサルティングやSBOM導入の検討支援・ツール導入支援などを幅広くおこなっております。CRAやSBOMのお悩みがございましたら当社Webサイトよりお問い合わせください。
参考文献
もっと知る
「ソフトウェア部品管理ソリューション」についてのお問い合わせやお見積もりなど、お気軽にご連絡ください。
