総務省 SBOM 対応ノスゝメ

　取材執筆にあたった記者と編集部双方の諸事情でお蔵入りとなっていた、昨年開催された Interop Tokyo 2023 の講演レポート記事を公開します。なお今年の Interop Tokyo 2024 は 6 月 12 日 (水) から 6 月 14 日 (金) に幕張メッセで開催されます。

--

　Interop Tokyo は 1994 年から開催されているインターネットテクノロジー技術の展示会で、インターネット分野のトレンドをいち早く体感しようと毎年多くの人が訪れる。本記事は、Interop 2023 で行われた総務省サイバーセキュリティ統括官室 参事官補佐 宮野 哲史 氏による講演『通信分野におけるSBOMの活用』のレポートである。「インターネット」「通信」といえば総務省であるからして、Interop Tokyo 2023 で総務省からの登壇があるのは全く不思議ではない。ただ、講演のテーマは「SBOMについて」だという。

　SBOM といえばソフトウェアベンダーやアプリケーション関連事業者で 2020 年前後から話題になっており、各企業対応について経産省が施策を進めているイメージがある。さて、では総務省は SBOM に一体何の関係があるんだろう。また本講演は無料で、しかも幕張メッセの展示会場内のオープンエアーな空間で行われるとのこと。総務省と SBOM という組み合わせの妙に加え、雑多な雰囲気の会場でおカタい話、もしかして参加者はかなり少ないんじゃないか、などと多少イジワルな気持ちも相まって興味が沸いた筆者は、2023 年 6 月 14 日、この講演に足を運ぶことにした。

●なんで総務省が SBOM なのか？

　宮野氏は冒頭、「私は本年 4 月より SBOM を含め、トラストサービスの担当をしています。SBOM に関して、まだ総務省としてもあまり知見が溜まっていない状況で、むしろ皆様方の中にかなり SBOM に詳しい方も多くいらっしゃると思います。是非ご知見をいただきながら、色々と情報交換をさせていただければと思います」と前置きしてから講演を始めた。とにかく腰が低い。

　SBOM（Software Bill Of Materials）はソフトウェアサプライチェーンの文脈で注目されているキーワードだ。宮野氏は「SBOM とは、ソフトウェアコンポネントやそれらの依存関係の情報も含めた機械処理可能な一覧リストのことを指してございまして、我々としては『ソフトウェア部品表』という呼び方をしています」と説明していた。ここに含まれるべき要素としては、ソフトウェアコンポネントの名称やバージョン情報等が含まれるのが一般的だ。

　オープンソースソフトウェア（OSS）を活用した開発が当たり前の世の中になっている中、2021 年 12 月に発見された Apache Log4j の「Log4Shell」と呼ばれる脆弱性は、OSS の脆弱性リスクに対する意識レベルを一気に引き上げたのは周知の通りだ。が、これはアプリケーションレイヤの方々の肝を冷やした話題という印象だったので、「総務省からこの話が出てくるのか」という、一種の感慨深さを感じた。

　「アメリカをはじめとする諸外国が SBOM を求める方向で動き始めたため、日本も政府内において、特に経済産業省が中心になり取り組みを進めてきました。通信分野を所管します総務省としても、SBOM は通信分野にとって非常に重要なものであると考えていますので、本年度から予算をつけて、実際に事業を行って実証を行って、何かしらの方向性を示していく、といったことを考えているところでございます（宮野氏）」

●サプライチェーンリスクの対策に、社会的な関心が高まっている

　2023 年時点ではまだまだ SBOM についての基礎情報を共有する必要があるという認識で、宮野氏は SBOM導入のメリット等を解説。続いて社会的な関心が高まっていることを SBOM対応の必要性が高まっている理由 － “SBOM対応しないといけない理由” とも言い換えられるだろう － について述べていた。「SBOM対応が必要だと考えているが、上司を説得する材料、予算化する理由として確固たるものが欲しい」という方は、これを参考にすると良さそうだ。