第714号コラム:小山 覚 理事(NTTコミュニケーションズ株式会社情報セキュリティ部 部長)
題:「ソフトウェアの脆弱性対策とサプライチェーンの強靭化」

私は通信会社に勤務しており情報セキュリティ対策に取り組んでいる。当社にはセキュリティ対策について外部の有識者にアドバイスをいただく会議体がある。情報セキュリティアドバイザリーボードと呼んでおり毎年数回開催している。このアドバイザリーボードに「2021年12月に発生したApache Log4j*脆弱性の対応状況」について報告し、何か良い対応方法がないものかと相談したことを契機に、改めてソフトウェアの脆弱性対策について考えるようになった。今回のコラムでは「ソフトウェアの脆弱性対策」をテーマに書き進めてみたい。

*https://www.jpcert.or.jp/at/2021/at210050.html

このApache Log4j(以下、Log4j)の脆弱性は放置できない危険なもので、Webサーバのログ管理機能として利用されるだけではなく、ソフトウェアを開発する際に使用する部品(ライブラリ)であるため、実際に調べてみないとどこで利用されているか分からないケースもある厄介な脆弱性である。当社では、システムを構成するOSやアプリケーションなどの製品名やバージョンの把握だけでは、Log4jの脆弱性の存在を見落とす可能性があると考え、ソフトウェアの開発元に問い合わせを行い、ログ保存機能にLog4jを利用していないか全てのシステムについて確認を行った。

年末休暇の前に対策を完了したい事情もありバタバタと対応した経緯を「情報セキュリティアドバイザリーボード」に報告したところ、ソフトウェア製品を構成する部品を管理する仕組み「SBOM(Software Bill Of Materials)」の導入をお勧め頂いた。製品を構成する部品リストを、開発段階から作成して更新し続けることで、Log4jのようなライブラリの脆弱性であっても管理が可能で対策が打てるとのことだった。確かにその通りである。

SBOMのことを少し勉強してみると、製造業界にはもともとBOMという概念があり活用も進んでいる。そのBOMをソフトウェアの領域に拡大することで、モビリティのセキュリティ対策に応用する取り組みもあり、経済産業省は「ソフトウェア管理手法等
検討タスクフォース」を立ち上げ検討を進めている。複数分野でSBOMの検討が行われているそうだが、確かにモビリティの車載機などはSBOMを導入し細かく管理できればメリットはありそうだ。

ならば、この動きに乗っかってみようと考えたものの、はたと我に返って足元を見てみると、当社ではLog4jに代表されるオープンソースソフトウェア(以下、OSS)を多数のシステムで活用しており、SBOMを導入する場合に協力してもらう社内組織や社外のパートナーは多岐にわたる。自社独自にシステム開発を行う場合はソフトウェアの設計段階からSBOMに登録することは可能だが、市販のパッケージソフトを購入して利用する場合は、そのソフトウェアを構成するOSSやライブラリの確認を行う必要がある。まるで食品を購入する際の原材料名や成分表や産地の確認を行うようなものだ。

仮にSBOMを導入した場合に、今回対応したLog4jの脆弱性対策がスムースに行えたかどうか頭の体操をしてみると、確かにうまく対策を進められたと思う。しかしうまく進めるためには、SBOMへの情報入力が漏れなく正確に行われていることが前提であり、この点はソフトウェア開発や製品調達が行われるサプライチェーンにおいて、統一感のある取り組みが求められ、価格競争で協力ベンダが変わる状況では、当社単独では維持するのが難しい取り組みのようだ。

情報セキュリティ部門にとってSBOM導入の効果については疑う余地はないが、一方でシステム管理を行う現場にとって、どの程度有難いものかどうか、この点はやや心配が残る。いままで管理してこなかった部品レベルのミクロ管理を行う際の日々の負担と比較して、「細かく管理していてよかったね」と周囲から褒めてもらえる頻度は年に数回かもしれない。1人のシステム管理者の目線では数年に一度あるかどうか・・・あくまでLog4jのような事案を想定しての比較であるが。

しかし万が一にも製品を構成する部品やライブラリの脆弱性が攻撃され、お客様に迷惑をかるようなインシデントに至った場合は、信頼回復は容易ではなくSBOMを導入しないという選択肢はなさそうだ。

こうして頭の体操をしてソフトウェアの脆弱性対策について考えたどり着いた結論は、自社に閉じた努力に留まらないサプライチェーンの強靭化が必要だということである。振出しに戻ったような気分であるが、サプライチェーン全体に大きく網をかけるところから始めようかどうしようか、もう少し頭の体操はまだ続きそうだ・・・

【著作権は、小山氏に属します】