総務省 SBOM 対応ノスゝメ | ScanNetSecurity
2024.06.23(日)

総務省 SBOM 対応ノスゝメ

総務省と SBOM という組み合わせの妙に加え、雑多な雰囲気の会場でおカタい話、もしかして参加者はかなり少ないんじゃないか、などと多少イジワルな気持ちも相まって興味が沸いた筆者は、2023 年 6 月 14 日、この講演に足を運ぶことにした。

研修・セミナー・カンファレンス
(イメージ画像)
  • (イメージ画像)
  • SBOM の構成要素
  • SBOM 米国動向
  • SBOM 欧州動向
  • 総務省の取り組み - SBOM の作成
  • 総務省の取り組み - SBOM 記載項目
  • 総務省 SBOM ガイドラインに盛り込む項目案

 取材執筆にあたった記者と編集部双方の諸事情でお蔵入りとなっていた、昨年開催された Interop Tokyo 2023 の講演レポート記事を公開します。なお今年の Interop Tokyo 2024 は 6 月 12 日 (水) から 6 月 14 日 (金) に幕張メッセで開催されます。

--

 Interop Tokyo は 1994 年から開催されているインターネットテクノロジー技術の展示会で、インターネット分野のトレンドをいち早く体感しようと毎年多くの人が訪れる。本記事は、Interop 2023 で行われた総務省サイバーセキュリティ統括官室 参事官補佐 宮野 哲史 氏による講演『通信分野におけるSBOMの活用』のレポートである。「インターネット」「通信」といえば総務省であるからして、Interop Tokyo 2023 で総務省からの登壇があるのは全く不思議ではない。ただ、講演のテーマは「SBOMについて」だという。

 SBOM といえばソフトウェアベンダーやアプリケーション関連事業者で 2020 年前後から話題になっており、各企業対応について経産省が施策を進めているイメージがある。さて、では総務省は SBOM に一体何の関係があるんだろう。また本講演は無料で、しかも幕張メッセの展示会場内のオープンエアーな空間で行われるとのこと。総務省と SBOM という組み合わせの妙に加え、雑多な雰囲気の会場でおカタい話、もしかして参加者はかなり少ないんじゃないか、などと多少イジワルな気持ちも相まって興味が沸いた筆者は、2023 年 6 月 14 日、この講演に足を運ぶことにした。

●なんで総務省が SBOM なのか?

 宮野氏は冒頭、「私は本年 4 月より SBOM を含め、トラストサービスの担当をしています。SBOM に関して、まだ総務省としてもあまり知見が溜まっていない状況で、むしろ皆様方の中にかなり SBOM に詳しい方も多くいらっしゃると思います。是非ご知見をいただきながら、色々と情報交換をさせていただければと思います」と前置きしてから講演を始めた。とにかく腰が低い。

 SBOM(Software Bill Of Materials)はソフトウェアサプライチェーンの文脈で注目されているキーワードだ。宮野氏は「SBOM とは、ソフトウェアコンポネントやそれらの依存関係の情報も含めた機械処理可能な一覧リストのことを指してございまして、我々としては『ソフトウェア部品表』という呼び方をしています」と説明していた。ここに含まれるべき要素としては、ソフトウェアコンポネントの名称やバージョン情報等が含まれるのが一般的だ。

 オープンソースソフトウェア(OSS)を活用した開発が当たり前の世の中になっている中、2021 年 12 月に発見された Apache Log4j の「Log4Shell」と呼ばれる脆弱性は、OSS の脆弱性リスクに対する意識レベルを一気に引き上げたのは周知の通りだ。が、これはアプリケーションレイヤの方々の肝を冷やした話題という印象だったので、「総務省からこの話が出てくるのか」という、一種の感慨深さを感じた。

 「アメリカをはじめとする諸外国が SBOM を求める方向で動き始めたため、日本も政府内において、特に経済産業省が中心になり取り組みを進めてきました。通信分野を所管します総務省としても、SBOM は通信分野にとって非常に重要なものであると考えていますので、本年度から予算をつけて、実際に事業を行って実証を行って、何かしらの方向性を示していく、といったことを考えているところでございます(宮野氏)」

●サプライチェーンリスクの対策に、社会的な関心が高まっている

 2023 年時点ではまだまだ SBOM についての基礎情報を共有する必要があるという認識で、宮野氏は SBOM導入のメリット等を解説。続いて社会的な関心が高まっていることを SBOM対応の必要性が高まっている理由 - “SBOM対応しないといけない理由” とも言い換えられるだろう - について述べていた。「SBOM対応が必要だと考えているが、上司を説得する材料、予算化する理由として確固たるものが欲しい」という方は、これを参考にすると良さそうだ。


《かのうよしこ(KANO, Yoshiko)》

編集部おすすめの記事

特集

研修・セミナー・カンファレンス アクセスランキング

  1. 強力な事故調査権限と影響力を持つ NTSB(米国家運輸安全委員会)のサイバー版を作る議論

    強力な事故調査権限と影響力を持つ NTSB(米国家運輸安全委員会)のサイバー版を作る議論

  2. 法人の無線 LAN セキュリティ対策、たったひとつの冴えたやりかた

    法人の無線 LAN セキュリティ対策、たったひとつの冴えたやりかた

  3. 新しい総務省ガイドラインに適合する「クラウドのデータ消去」とは? 自治体で行われた実証実験 結果報告

    新しい総務省ガイドラインに適合する「クラウドのデータ消去」とは? 自治体で行われた実証実験 結果報告

  4. パナソニック他 大手が続々「Cloudbase」を採用、日本人が日本企業のために作るクラウドセキュリティプラットフォーム

  5. ビッグ・ブラザー2024 ~ 監視カメラと画像分析 その高成長市場と国際動向

  6. サイバー攻撃 はじまりはいつも OSINT ~ 日本ハッカー協会 杉浦氏講演

  7. 攻撃者のあの手この手、リアルな攻撃&リアルな現状を知る専門家が警鐘を鳴らす ~ JPAAWG 6th General Meeting レポート

  8. 到来する「脆弱性対策義務化時代」に脆弱性管理サービス「SIDfm」が果たす役割

  9. ブルーチームの新ツール 難検知ランサムウェアの発見

  10. LINEヤフー社 Digital Crime Unit の取り組みほか ~ フィッシング対策セミナー講演資料 5 本公開

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×