LFがSBOMの導入によるライセンス順守とソフトウェアセキュリティ強化に関するレポートを発表、ほか
こんにちは、吉田です。今回は、この夏にLinux Foundationから発表されたレポートの中から、SBOMと機密コンピューティングに関するものを取り上げて紹介します。
SBOMの導入によるライセンス遵守とソフトウェアセキュリティの強化
SBOM(ソフトウェア部品表)は、ソフトウェアサプライチェーンにおける透明性の向上、ライセンス遵守、セキュリティ強化において重要なツールとして注目されています。
【参照】SBOMの導入によるライセンス遵守とソフトウェアセキュリティの強化
https://www.linuxfoundation.jp/wp-content/uploads/2024/10/SBOM_Adoption_2024_jp4.pdf
Linux Foundationでは、2010年2月にLinux Foundation傘下のFOSSBazaarのワークグループで仕様の草案作成が始まり、当初は「Package Facts」と呼ばれていましたが、のちに「SPDX(Software Package Data Exchange)」と呼ばれるようになりました。これがSPDXの始まりです。SPDXはその後も継続的に改善され、2021年8月にISO化されました。現在の最新バージョンは2024年4月にリリースされた「SPDX 3.0.0」です。現在、これらの活動はSBOM標準化の推進に大きく寄与しています。
SBOMは通常、主に以下の5つの要素で構成されています。
- コンポーネントインベントリ
すべてのソフトウェアコンポーネントの詳細なリストで、オープンソースおよび商用コンポーネントの両方を含むとともに、それぞれのバージョンや依存関係も記載 - 来歴情報
各ソフトウェアコンポーネントの出所と所有権に関するメタデータを含み、ライセンス条件、著作権の帰属、貢献者の情報などを含む - 依存関係
ソフトウェアコンポーネント間の依存関係を示す階層的な関係であり、トレース可能性や影響分析を容易にする - 脆弱性インテリジェンス
コンポーネントインベントリ内の各ソフトウェアコンポーネントに関連する既知のセキュリティ脆弱性に関する詳細な情報を含む。この情報の目的は、リスクの積極的な軽減と脆弱性管理を可能にすること - メタデータおよび注釈
SBOMをより詳細にする追加の文脈情報であり、ビルド手順、リリースノート、コンプライアンスの証明などを含む
SBOMの用途として現在重要な役割を果たしているのは「ライセンス遵守」と「サイバーセキュリティ」です。ライセンス遵守という観点では、ソフトウェア開発が大きくオープンソースに依存している現状からライセンス違反に伴う法的、評判的、技術的、財務的リスクを軽減するという大きな役割があります。
また、サイバーセキュリティという観点では、第三者コンポーネントの脆弱性を事前に特定し対処することで早期警戒システムとして機能し、セキュリティリスクを深刻な侵害に発展する前に予防的に軽減することができます。
法規制という観点で米国、EU、日本、カナダ、中国等での動向が記述されており、特に米国については2013年2月に国家標準技術研究所(NIST)が組織のサイバーセキュリティ インフラを改善するためのガイドラインとベストプラクティスを提供する「サイバーセキュリティフレームワーク」を策定した時点からの動きについて詳細に記述されています。
最後に、効果的なSBOM実装のための推奨事項として挙げられている項目を紹介します。
- 明確なポリシーと手順を確立する
- 明確な役割と責任を定義する
- SBOMの生成を自動化する
- メタデータと脆弱性情報を追加する
- コンプライアンス及びセキュリティの実践に統合する
上記以外にもいくつか項目が挙げられていますので、詳細についてはレポートをお読みください。
さまざまな場面でSBOMという言葉を目にすることが増えてきましたが、本格的に活用するにはまだまだ必要なステップがあります。それを乗り越えることで、ソフトウェアサプライチェーン全体で堅牢なコンプライアンスを確保できるのではと思います。
機密コンピューティング(Confidential Computing)の事例
機密コンピューティングとは、使用中に権限のないエンティティがデータやコードを変更、削除、閲覧できないように、データの完全性、機密性とコードの完全性を提供する環境である認証済みのTrusted Execution Environments(TEE)の構築を通じて、“使用中”のデータとコードを保護するハードウェアベースの技術ソリューションのことで、機密データにエンドツーエンドのセキュリティを提供し、そのライフサイクル全体を通じて不正なエンティティからデータを保護することを目的としています。
【参照】機密コンピューティングの事例
https://www.linuxfoundation.jp/TheCaseforConfidentialComputing_jp.pdf
現在は「プライバシーを損なうことなく、企業や顧客のデータをいかに安全かつセキュアに収集、蓄積、活用するか」ということが大きな課題となっています。この課題は人工知能(AI)や機械学習(ML)の台頭と、これらのイニシアチブを推進するための膨大なデータ要件により、さらに緊急性を増しています。
機密コンピューティングを活用することで権限のないユーザーに見られたり、改ざんされたり、盗まれたりすることなく、保存時、転送時、使用時の3つのモードすべてでデータが保護されます。機密コンピューティングプラットフォームは、業界を超えたイノベーションとコラボレーションのための保護された基盤を提供します。組織は機密コンピューティングによりデータのサイロ化を解消することでパブリッククラウドの導入を可能にし、グローバルなデータプライバシーコンプライアンス要件を満たします。
本レポートでは、以下の各ユースケース概要で機密コンピューティングを用いて組織が企業データの価値を安全でセキュアかつ信頼性をもって活用する上でどのように役立つかを紹介しています。
- 機密データクリーンルームが効率的なマーケティング成果を実現
- セキュアなデータ処理がパブリッククラウドの導入を実現
- 認証とSecure Enclaveでグローバルデータ保護とコンプライアンスを強化
- 機密コンピューティングが企業向け機密AIを後押し
- マルチパーティデータコラボレーションがマネーロンダリング撲滅に貢献
- プライバシーを保護するデータ集約はより良い医療の転帰につながる
機密コンピューティングソリューションを選択してデータを活用することで組織はビジネスを成長させ、クライアント、患者、顧客により良いサービスを提供し、困難なデータ課題に取り組み、法規制コンプライアンスの要求に正面から対応できるようになります。
また、新しいビジネスの実現、コンプライアンスの強化、市製品開発と展開の合理化などさまざまなメリットを享受できます。本レポートを読むことで機密コンピューティングの知見を得ることは、今後有用になることは間違いないと思います。