日本政府が、「SBOM（エスボム、ソフトウエア部品表）」と呼ぶソフト管理手法の重要性を示した国際共同ガイダンスに署名した。ソフトの弱点を狙うサイバー攻撃の脅威が増す中、脆弱性を効率的に管理するツールとして世界に認知させる契機となりそうだ。今後は、技術的な内容を具体化したガイダンスの策定に向けた国際的な議論が進む見通しで、日本も積極的に貢献したい構えだ。

　今回のガイダンスは、SBOM活用の重要性を示す国際文書。日米やドイツ、フランス、イタリアなど、計15か国のサイバーセキュリティー関係当局が共同署名に参加した。日本からは内閣官房国家サイバー統括室及び経済産業省が署名に加わり、4日に共同発表した。

　SBОМはソフトの構成要素を一覧化した文書で、ライセンス情報や脆弱性情報も記載されている。その重要性を広く発信する取り組みで各国が足並みをそろえる背景には、産業活動のサービス化に必要なソフトの存在感の高まりがある。ソフト開発を支えるサプライチェーン（供給網）は複雑化し、誰でも改変可能なOSS（オープンソースソフトウエア）の利用も進展する中で、ソフトの脆弱性やライセンスを効率的に管理する対応が企業に求められるようになっている。 例えば、SBОМを活用して脆弱性を特定できれば、適切な対策を講じてセキュリティーインシデント（事故）が発生するリスクを低減できる。

　ガイダンスでは、「SBOMとは何か」について明示した上で、こうした導入メリットに言及。具体的には、「ソフトの脆弱性管理の効率化」「サプライチェーンを揺るがすリスクの管理」「ソフト開発プロセスの改善」「ソフトライセンス管理の効率化」という利点に焦点を当てた。

　さらに、SBОМを取り巻くステークホルダー（利害関係者）をソフトの開発者、調達者、運用者と政府機関に分け、それぞれに与える影響を明記した。SBOMを活用する意義にも触れ、「ソフトの製造者・開発者がサプライチェーンの透明性を確保するとともに、説明責任を受け入れるというセキュア・バイ・デザイン原則に合致する」という文言を盛り込んだ。セキュア・バイ・デザインとは、システムや製品の企画・設計段階からセキュリティー対策を組み込む設計思想だ。

日本が議論主導に意欲

　ソフトサプライチェーンを巡っては、既に米国が大統領令に基づき、SBOMを含むセキュリティー対策の強化に向けた動きを進展させている。日米豪印の戦略対話「QUAD（クアッド）」による共同原則には、SBОМを含むソフトセキュリティーの領域で協力する方向性が盛り込まれた。日本では、経産省が有識者研究会傘下の検討タスクフォースで重ねた議論も踏まえ、23年にソフト管理に向けたSBOMの導入に関する手引書を策定。その後もSBOMを効率的に活用できる方法の検討を継続し、24年８月には改訂版を公表した。

　ガイダンスの作成作業は、ソフトサプライチェーンを巡る動きで先行する米国のサイバーセキュリティー・インフラ安全庁（CISA）と経産省が主導してきた。経産省は「SBOMの活用促進に向けた国際的な議論をリードしていきたい」（商務情報政策局）としている。