SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年夏号(EnterpriseZine Press 2024 Summer)特集『ニューリーダーに訊く──2024年春、CxOに就任した2人が目指す姿とは』

徳丸浩が斬る、セキュリティのイマ

「SBOM」は脆弱性管理の新たな常識となるか? IT部門の心理から紐解くソフトウェア管理のアプローチ

【徳丸浩が斬る、セキュリティのイマ:第11回】なぜSBOMが話題なのか、背景にある脆弱性の課題とは?

 多くの日本企業でセキュリティ被害が増えている昨今、企業や組織はどう対応していくべきか。イー・ガーディアングループCISO 兼 EGセキュアソリューションズ取締役CTOである徳丸浩氏が、日本の「セキュリティのイマ」をわかりやすく徹底解説する連載企画第11弾。今回のテーマは、「『SBOM』は脆弱性管理の新たな常識となるか? IT部門の心理から紐解くソフトウェア管理のアプローチ」です。最近、脆弱性管理の手法として「SBOM」が話題ですが、そもそもなぜ注目されているのか。背景にある脆弱性の課題と、IT部門の担当者が押さえるべきソフトウェア管理の勘所を解説します。その上で、皆さんが採るべき脆弱性管理のアプローチをどう判断すればよいのか、その選択肢と実践で役立つ考え方を紹介します。

なぜ最近「SBOM」が注目されているのか

 今回は脆弱性管理についてお話ししたいと思います。

 最近、「SBOM(エスボム)」というキーワードが大変話題になっています。実際に導入したという声もよく聞きますし、2023年に経済産業省から『ソフトウェア管理に向けたSBOMの導入に関する手引き』というものが発表され、より話題になる機会が増えているように思います。

 SBOMとは「Software Bill of Materials(ソフトウェア部品表)」の略でして、要はソフトウェアの構成ですね。このアプリケーションや機器、サイトにはどのようなソフトウェアのどのバージョンが使われていますよ、というものの一覧です。

 なぜこうした取り組みが必要なのか。それは、どんなソフトウェアが入っているかがわからなければ、そのアプリケーションや機器などにどういった脆弱性があるのか調べようがないからです。逆に、どのソフトウェアのどのバージョンが入っているかがわかれば、どういう脆弱性があるかも調べられます。

【出所】経済産業省『ソフトウェア管理に向けた SBOMの導入に関する手引き』
【出所】経済産業省『ソフトウェア管理に向けた SBOMの導入に関する手引き』
[画像クリックで拡大]

 これだけでは非常に単純な話のようにも思えますが、実際はそうではありません。ソフトウェアというのは、様々なライブラリやコンポーネントの組み合わせでなっているわけですから、たとえばWordPressを使おうとすると、WordPressを構成するPHPなどのプログラム言語や、その言語向けの様々なソフトウェアライブラリが使われています。あるいはOSのソフトといいますか、ちょっと前に話題になったLog4jという、これはJava向けのライブラリですが、著名なライブラリに非常に危険な脆弱性があるということで大騒ぎになったわけです。

 これがなぜ問題になったかというと、Javaで書かれたアプリケーションの多くにこのライブラリが使われているというのが一つ。また、多く使われてはいるのですが、「じゃあ実際にこの環境にLog4jが使われているか」というのは簡単にはわからないというのが一つです。たとえば「Minecraft」というゲームでは、ゲーム内サーバーを個人で運用しているような方もいるわけですが、MinecraftサーバーはJavaで書かれていて、実はLog4jも使われていると。ですから、そういったものまで影響があるかもしれないということで、大きな騒ぎになったのです。

 もう一つ騒ぎになったポイントがあります。それは、脆弱性の種類性質として、外部インターネットに公開していないサーバーでも影響があり得るということが早くからわかっていた点です。ここからSBOM、あるいは脆弱性管理というものをちゃんとやらなきゃいけないという議論が高まったような気がします。

【出所】警察庁ホームページ
【出所】警察庁ホームページ
[画像クリックで拡大]

 また、もう少し最近の話題では「curl(カール)」ですね。これの脆弱性が問題になりました。curlは、インターネットからファイルなどをダウンロードするための著名なコマンドですが、コマンドだけでなくソフトウェアから利用するためのライブラリとしても広く使われています。こちらは「libcurl(リブカール)」と、ソフトウェアとしてはまあcurlと同じものといいますか、共通のものですね。こちらも非常に多くのソフトウェアで使われています。ただ、「このソフトウェアは何と何と何を使っているか」っていうのは簡単にはわからないわけです。じゃあ一体どうすれば……ということで、SBOMが注目されているわけです。

次のページ
脆弱性を見過ごしてしまうIT部門の心理

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
徳丸浩が斬る、セキュリティのイマ連載記事一覧

もっと読む

この記事の著者

徳丸浩(トクマル ヒロシ)

イー・ガーディアングループCISO 兼 EGセキュアソリューションズ取締役CTO。ウェブアプリケーションセキュリティの第一人者。 脆弱性診断やコンサルティング業務のかたわら、ブログや勉強会などを通じてセキュリティの啓蒙活動を行う。 徳丸氏がCTOを務めるEGセキュアソリューションズは、セキュリティの知識を問う 「ウェブ・セキュリティ試験」の監修を務める。著書「体系的に学ぶ 安全なWebアプリケーションの作り方 第2版」は、...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/19808 2024/06/24 09:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング