サプライチェーンへの攻撃の防御手段になるであろうと最近広く注目を集めているセキュリティツールの1つ、#SBOM(Software Bill of Materials)をご存じですか?
SBOM とは、ソフトウェアの構成要素を記述した管理表です。
2021年のColonial Pipeline社への攻撃の後、2021年5月に米国政府が発表した大統領令14208号では、『ソフトウェア開発者は製品に含まれるオープンソースやサードパーティーのソフトウェアが最新でかつ、脆弱性がないことを確認できる』方法として、この考えを提唱しました。また、日本においても経済産業省が「サイバー・フィジカル管理手法等検討タスクフォース」にて、管理手法の検討が行われています。
このSBOMを利用すれば、ソフトウェアの購入者は、特にリスク評価に有益な、脆弱性やライセンス分析を行うことができます。また、ソフトウェアのオペレータは、新たに発見された脆弱性によってリスクが生じるかどうかを迅速かつ容易に判断できるようになります。
サプライチェーンを通じた作業現場へのサイバー攻撃の被害が世界的に広がる中、日本でも今後、SBOMを活用した工場の脆弱性リスク判断が求められることが考えられます。
そこで、この資料では次の内容を解説します。
<ホワイトペーパーの概要>
- SBOMとはなにか
- SBOMを自動化するために必要なオープン標準の紹介
- 最小限での実行が可能なSBOM
- SBOMを実施するための現状課題
- 現状で実現可能なOTヘルスチェック