トレンドマイクロ製品の安全性?透明性向上のための5つの取り组み 第3回~ソフトウェアの脆弱性のリスクを可视化する厂叠翱惭~
「当社製品の安全性?透明性向上」の取り组みを行うサイバーセキュリティ?イノベーション研究所の最前线のノウハウを连载形式でお伝えする连载企画。第3回はソフトウェアの脆弱性管理で注目を浴びる「厂叠翱惭」です。
Save to Folio
「製品がどんな要素からできているのか?」に注目が集まる昨今のソフトウェア开発事情
「サプライチェーンリスク」という言叶を、近顷频繁に耳にするようになりました。「サプライチェーン」とは物品が供给されるプロセスのことを指しますが、このプロセスを経由する中で発生するリスクについて様々な悬念が生じています。このリスクは物流などに限らず、ソフトウェア开発においても生じており、こちらの记事では、ソフトウェアのサプライチェーンリスクを考えるうえで重要な要素となっている「SBOM(Software Bill of Materials)」と当社の取り组みついて绍介したいと思います。
参考记事:ソフトウェア?サプライチェーンの脆弱性管理に求められる厂叠翱惭の必要性
厂叠翱惭はSoftware Bill of Materialsの頭文字をとったもので、「エスボム」と読みます。厂叠翱惭は、該当のソフトウェアが「どのような要素から构成されているのか?」をリストにしたものです。
何らかの食品に対してアレルギーのある方に分かりやすいように、食品表示というものがありますが、これはその食材がどんな材料から作られているのかを表示したものです。食品表示を确认することで、アレルギーを引き起こさないか?(アレルゲンがないか)を确认することができます。
ソフトウェアにおいて、この食品表示にあたるものが「SBOM」です。ソフトウェア開発において、イチからすべてを自社内で開発するケースは非常に珍しく、一般的には様々なオープンソースソフトウェア(Open Source Software、以下OSS)を活用しながらソフトウェア開発が行われます。OSSを利用することで、品質が高く、スピーディな開発が可能になる一方で、完成した製品だけを見ると「どのようなOSSを使用しているのか分かりにくくなってしまう」というデメリットがあります。
このような状况から、2021年5月にはアメリカで厂叠翱惭作成を指示する旨の大统领令が出されました※1。またヨーロッパにおいても欧州委员会が、2022年9月にデジタル製品のサイバーセキュリティー対応を义务付けるサイバーレジリエンス法案(草案)を発表し、デジタル製品のメーカーに対して、厂叠翱惭作成を含めたセキュリティ要件への适合を求める内容になっています※2。
※1 米ホワイトハウス
※2 経済産業省
また、日本でも同様に厂叠翱惭の普及の必要性が认识されており、経済产业省のサイバー?フィジカル?セキュリティ确保に向けたソフトウェア管理手法等検讨タスクフォース等の有识者によって厂叠翱惭の普及へ向けた议论が定期的に行われ※3、2023年7月には『ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引』(Ver.1.0)が公開されました※4。本手引书作成にあたり、トレンドマイクロはソフトウェア分野の厂叠翱惭実証に协力しました※5。
※3 経済産業省
※4 経済産業省
※5 経済産業省
厂叠翱惭があることのメリットとは?
厂叠翱惭があることで、どのようなメリットが享受できるのでしょうか?考えられるケースとして、インパクトの大きな脆弱性が公开された际の対応速度の向上が1つ挙げられます。インパクトの大きい脆弱性が公开されたとき、厂叠翱惭があれば、公司内で利用しているソフトウェアに该当の脆弱性があるかどうかをすぐに确认することができ、脆弱性を突かれる前に迅速にパッチ适用することで、攻撃を防ぐことができます。
もしSBOMがなかった場合、自社環境に該当の脆弱性があるかどうか判断が難しく、該当のソフトウェアメーカーに問い合わせを行うなど、確認に時間がかかってしまうことが想定されます。これにより、パッチ適用が間に合わなくなり、セキュリティ被害に遭う可能性が高まります。2021年12月にJava向けのログ出力ライブラリとして広く利用されている「Apache Log4j」の脆弱性(通称Log4Shell)が公開されました※6。
※6 トレンドマイクロ『Apache Log4jの脆弱性「Log4Shell」(CVE-2021-44228)』
Log4Shellのようにインパクトが大きいにもかかわらず、攻撃難易度が低い脆弱性は攻撃者にとって使い勝手もよいと考えられます。さらにApache Log4jは多くの製品で利用されており、かつOSS内のライブラリの1つであるため、各種プログラム内に埋め込まれているケースも多く、影響範囲の特定に時間がかかってしまったという声も発覚当時には聞かれました。Log4Shellは2022年に入っても米CISA(サイバーセキュリティー?インフラストラクチャー?セキュリティー庁)が「2021年に日常的に悪用された脆弱性のTop15の1つ」に挙げるなど、最も攻撃を受けやすい脆弱性の1つとなっています※7。
※7 関連记事:『サイバー犯罪者はどの脆弱性を悪用しようとしているのか?』
现在トレンドマイクロでは、製品の厂叠翱惭を必要に応じて提供できるように、社内での検証を実施しています。完璧なように闻こえる厂叠翱惭ですが、まだ课题があり十分な検証を経る必要があるためです。
例えば、SBOMを手作業で作成することは非常に工数がかかり、抜け漏れが発生するリスクも高いと考えられているため、基本的には厂叠翱惭はツールなどで自動生成されることが望ましいとされています。しかし、ソフトウェアの構成は非常に複雑で、ソースコードを辿って分析した場合でも、100%すべての依存関係を洗い出すことは难しいのです。そのほかにも、标準フォーマットの検讨など以下のような课题があります。
●厂叠翱惭について现状可能なこと?课题<现状で可能なこと>
?SCA(Software Composition Analysis(ソフトウェア構成分析ツール※8)や、开発者プラットフォームで公开されている无偿ツールなどを用いれば厂叠翱惭作成自体は容易
※8 ソフトウェアを構成するコンポーネントの管理ツール。OSSなどのライセンス管理、脆弱性に関する情報提供と管理などに用いられ、SBOM生成機能があるものもある。
<课题>
?现状、厂叠翱惭を効率よく管理するツールが存在しない(复数ツールから生成された厂叠翱惭の情报集约が困难)
?ツールによる自动検出は検出の正确性が担保できない场合も考えられる。误りがあった场合を考虑した、契约上の扱いなどの整理が必要
トレンドマイクロでは、当社法人向け製品をご利用中のお客様には、当社内の承认后に该当製品の厂叠翱惭提供を行う体制を整えています。ただし、现在の取り组みが上记の课题を全て解决できているとは考えていません。ソフトウェア提供公司の1社として、当社にとってもお客様にとっても厂叠翱惭がより意味のあるものとしていくため、当社では上记のような课题について引き続き検讨し、より活用しやすい厂叠翱惭の在り方や活用手法について研究に取り组んでまいります。
次回は、「トレンドマイクロ製品の脆弱性に関する品质向上の取り组み」をご绍介します。
本シリーズの记事を読む:
第1回:製品开発の迅速性と安全性を両立する顿别惫厂别肠翱辫蝉
第2回:サービスの信頼性を確保するSRE (Site Reliability Engineering)の実践
第3回:ソフトウェアの脆弱性のリスクを可视化する厂叠翱惭
第4回:トレンドマイクロ製品の脆弱性に関する品质向上の取り组み
第5回:地政学リスクを考虑したサービスの设计とは
サイバーセキュリティ?イノベーション研究所
トランスペアレンシー?センター
トレンドマイクロのサイバーセキュリティ?イノベーション研究所の中核センターの一つ。トレンドマイクロの製品?サービスの品质、安全性、透明性の向上に取り组む。また、その取り组みを顾客や一般に広く発信するほか、「ソフトウェア管理に向けた厂叠翱惭の导入に関する手引」を策定した経済产业省のタスクフォースにて、ソフトウェア分野の厂叠翱惭実証に协力するなど、国内におけるソフトウェアのセキュリティ向上に向けた社外活动も推进している。
