情報セキュリティ分野におけるサプライチェーンリスクマネジメントとは、製品の部品調達から販売までの一連のプロセスであるサプライチェーンに存在するリスクを特定し、対策を実施することです。サプライチェーンにおけるプロセスの一部がサイバー攻撃などを受けた場合、その被害はサプライチェーン全体に拡大します。このような被害の拡散を防ぐため、サプライチェーンリスクマネジメントを実施し、持続可能なサプライチェーンを実現することが求められています。
　本記事では、サプライチェーンリスクマネジメントが注目される背景、サプライチェーンリスクマネジメントの中で最近話題になっているSBOMなどについて解説します。

• サプライチェーンリスクマネジメントとは
• サプライチェーンリスクマネジメントが注目される背景
  • ソフトウェア開発におけるサプライチェーンリスク
• サプライチェーンリスクマネジメントを支援するSBOMとは
• SBOM導入における注意点
  • 有償ツールと無償ツールの違いを認識する
  • SCAツールが対応する言語やコンポーネント形態を事前に確認する
  • 誤検出や検出漏れを確認・修正する
• 製品紹介
  • Black Duck
  • yamory
• おわりに
• 参考文献
• 関連するITソリューション
• ニュースリリース
• パブリシティ

サプライチェーンリスクマネジメントとは

　サプライチェーンリスクマネジメントとは、サプライチェーンに悪影響を及ぼすさまざまなリスクを特定・評価し、そのリスクによる被害を低減する対策を実施し、継続的にリスクを管理するプロセスのことです。

サプライチェーンリスクマネジメントが注目される背景

　近年サプライチェーンの弱点を狙う攻撃が増加しています。標的型攻撃に代表される巧妙かつ精度の高いサイバー攻撃は以前から問題となっていますが、このような攻撃は多くの機密情報を保有する大企業が主な標的とされてきました。
　しかし、近年この状況に変化が見られます。攻撃者に狙われやすい大企業等においては、強固なセキュリティ対策が年々強化され直接的な侵入が困難となってきたことから、セキュリティ対策が進んでいない取引先企業や海外拠点などの関係先を初期潜入の標的とし、これらを経由して大企業等への侵入を試みる攻撃（サプライチェーン攻撃）が増加しています。
　独立行政法人情報処理推進機構（IPA）の「情報セキュリティ10大脅威 2023」でも「サプライチェーンの弱点を悪用した攻撃」は2019年版で初めて第4位にランクインし、その後2022年版は第3位、そして2023年版では第2位と順位を上げており、サプライチェーンリスクマネジメントの重要性は企業の規模に関係なく高まっています。(*1)
　サプライチェーンリスクマネジメントの実践においては、セキュリティフレームワークの活用が有効です。セキュリティフレームワークについてはこちらの記事で詳しく紹介していますのでご参照ください。

ソフトウェア開発におけるサプライチェーンリスク

　現在のソフトウェアはOSSや商用ソフトウェアなどのソフトウェア部品を組み合わせて構成されています。また、設計、開発からテスト、配布、保守などのすべての工程にわたって各種ツールやサービスが利用されています。このようにソフトウェア開発はさまざまな関係者が連なったサプライチェーンに依存しています。
　ソフトウェア開発におけるサプライチェーンには、ソフトウェアを構成するソフトウェア部品やソフトウェア開発のライフサイクルで利用するツールに脆弱性が存在するリスクがあります。攻撃者はその脆弱性を悪用してシステム内に侵入し機密情報の窃取などを行う可能性があります。
　米国では、このようなサイバー攻撃による大規模な情報漏洩などの深刻な被害を背景に「国家のサイバーセキュリティ改善についての大統領令」が発令され、NIST（National Institute of Standards and Technology、米国国立標準技術研究所）がサプライチェーンのセキュリティ強化を推進することとなりました。(*2)(*3)
　また、国内では経済産業省が設置する「産業サイバーセキュリティ研究会ワーキンググループ１」内の「ソフトウェアタスクフォース」で、ソフトウェアの適切な管理手法や脆弱性対応などを検討しており、米国をはじめとする海外の動向も参考にしながらSBOM活用の議論や実証実験を進めています。
　以下で、前述の米国大統領令のひとつの要件でもあり、国内でも注目されているSBOMについて紹介します。

サプライチェーンリスクマネジメントを支援するSBOMとは

　SBOM（Software Bill of Materials）はソフトウェア部品表と訳され、ソフトウェアを構成するコンポーネントや依存関係などの情報が含まれています。SBOMの代表的なフォーマット（出力項目を定めた規格）として、SPDX、CycloneDX、SWIDがあります。

出所：NTIA「Survey of Existing SBOM Formats and Standards - Version 2021」に掲載の例を基に大和総研作成

　SBOMは前述のとおりソフトウェアを構成するコンポーネントや依存関係などの情報が含まれるため、SBOMによってソフトウェアの透明性や管理容易性が向上し、ソフトウェアの脆弱性を迅速に特定・対処することが期待されています。

出所：大和総研作成

SBOM導入における注意点

　SBOMを作成・管理することができるツールとして、SCA（Software Composition Analysis、ソフトウェア構成解析）ツールがあります。SCAツールはソースコードやバイナリファイルなどを解析しSBOMを作成します。作成したSBOMに含まれるコンポーネントと、公開されている脆弱性情報やライセンス情報とマッチングを行い、ソフトウェアに存在するセキュリティリスクを検出します。ここでは、SCAツールを使ってSBOMを導入する際の注意点を紹介します。

有償ツールと無償ツールの違いを認識する

　SCAツールには有償ツールと無償ツールがあります。有償ツールは一般的に高価ですが、機能やベンダーのサポートが充実しています。無償ツールはコストがかからない一方で、導入や利用方法に関する情報が少ないことが多く、トレーニングに多くの時間が必要になります。また、有償ツールに比べ機能も限定的です。このため、SBOMを適用するソフトウェアの規模やSBOMを導入する目的によって適切なツールを選定することが大切です。

SCAツールが対応する言語やコンポーネント形態を事前に確認する

　ツールによって対応している言語（Java、Python、Goなど）やコンポーネント形態（ライブラリ、アプリケーション、ミドルウェアなど）が異なります。このため、SBOMを適用するソフトウェアについてこれらの情報を整理し、ツールが対応しているかを導入前に確認する必要があります。

誤検出や検出漏れを確認・修正する

　SCAツールによって作成されたSBOMはコンポーネントの誤検出や検出漏れ、バージョン情報の誤りなどが発生する可能性があります。このため、作成されたSBOMをそのまま使うのではなく、SCAツールの解析ログ等を確認し、結果に不備があれば人手で修正する必要があります。

製品紹介

　SBOMを作成・管理することができるツールを紹介します。

Black Duck

　米国Sysnopsys社が提供するSCAツールです。依存関係の解析やバイナリ解析など複数の方法でソフトウェアを解析することができます。また、OSSの脆弱性情報は常に最新の情報が参照でき、利用者は新たなリスクに素早く対応することができます。GUIが日本語に対応しています。
Black Duckソフトウェア・コンポジション解析（SCA） | Synopsys

yamory

　yamoryは、ITシステム全レイヤーを対象とした脆弱性対策とリスク管理をオールインワンで実現するクラウドサービスです。ソフトウェアの脆弱性管理に加え、OSSライセンスの違反リスクも可視化できるほか、マルチクラウド環境のクラウド資産を一元管理し、設定不備を検知するクラウド設定管理（CSPM）も完備しています。
yamory | 脆弱性管理クラウド

おわりに

　サプライチェーン攻撃は、サプライチェーンの中でセキュリティ対策が弱い企業を狙って攻撃を仕掛けてくるため、企業の規模に関係なく、サプライチェーンリスクマネジメントの重要性が高まっています。企業によってリスクの種類や影響は異なるため、ガイドラインやフレームワークを活用してリスクを特定し継続的に管理することが大切です。
　SBOMについては、経済産業省が普及に向けた活動を進めています。また、今後SBOMを導入する企業が増加することが予想されるため、SBOMの動向については注目しておくと良いでしょう。SBOMを導入する際は、前述した注意点などを踏まえて事前に評価を行い、自社に適した製品を選択することが大切です。

参考文献

(*1) IPA 独立行政法人 情報処理推進機構　「情報セキュリティ10大脅威 2023」pp.36-37
https://www.ipa.go.jp/security/10threats/ps6vr70000009r2f-att/kaisetsu_2023.pdf

(*2) THE WHITE HOUSE　「Executive Order on Improving the Nation’s Cybersecurity」 Sec.4
https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/

(*3) NIST　「Survey of Existing SBOM Formats and Standards – Version 2021」　p.20
https://ntia.gov/sites/default/files/publications/sbom_formats_survey-version-2021_0.pdf

関連するITソリューション

サイバーセキュリティ対策 | 大和総研

ニュースリリース

大和総研、従来のセキュリティ対策を強化する最新ゼロトラストセキュリティソリューションを導入

パブリシティ

サイバーセキュリティの最新動向をタイムリーに発信～DIR SOC Quarterly～