2025年8月22日、米国サイバーセキュリティ・インフラストラクチャ庁（CISA）は、Software Bill of Materials（SBOM：ソフトウェア部品表）に関するドラフトガイドを一般公開し、意見募集を開始しました。これは、ソフトウェアサプライチェーンセキュリティにおいてSBOMを基盤的要素とするための新たな段階を示すものです。

SBOMは数年前から政策分野で議論されてきましたが、この新しいドラフトは理論から運用現実への重要な転換点を示しています。すでに多くの組織がその変化を実感し始めています。

デジサートでは、SBOMをデジタルトラストの広範なエコシステムの一部と位置付けています。SBOM単体では万能ではありませんが、証明書ライフサイクル管理、コード署名、その他の完全性管理と組み合わせることで、すでに実用的な価値を提供し、組織がサプライチェーンリスクを軽減するのに役立っています。

理論から実運用価値へ

多くの人が疑問に思っています。「SBOMは実際のサイバーセキュリティ運用で役立つのか、それともまだ理論的な概念なのか？」

その答えは明確です。SBOMはすでに今日、実用的な価値を発揮しています。多くの組織が、私たちが「ソフトウェアの栄養成分表示」と呼ぶアプローチの恩恵を受けています。消費者が食品の成分を知りたいのと同様に、企業は自社のソフトウェアを構成するコンポーネント、ライブラリ、依存関係を把握したいと考えています。SBOMはその可視性を提供し、脆弱性の特定を迅速化し、パッチ管理を効率化し、コンプライアンス報告を強化します。

現在の変化は、SBOMがコンプライアンスのチェック項目から運用ツールへと進化していることです。SBOMは脆弱性データベースとの照合、DevSecOpsパイプラインへの統合、サプライチェーン全体でのソフトウェア完全性の実証など、実践的なユースケースで活用され始めています。デジサートにとって、SBOMはソフトウェアの完全性を検証・監査可能・信頼可能にするための広範なソリューション群の一要素です。

効果的なSBOM活用における現在の課題

特に連邦機関や規制業界では、SBOMの導入が急速に義務化されつつあり、いくつかの課題が浮き彫りになっています。

1. コンテンツ管理と透明性

SBOMは可視性を高めますが、その内容はソフトウェア提供者によって制御されています。署名・配布前に、ベンダーが特定の依存関係を省略する「サニタイズされたSBOM」を作成することが可能です。いわばInstagramのフィルターをかけたようなもので、見えているものが全体像とは限らず、完全性と信頼性に疑問を投げかけます。

2. リスクの不完全な把握

SBOMはコンポーネントを一覧化しますが、それらのどれが脆弱かを自動的に示すわけではありません。真のリスクを把握するためには、SBOMを脆弱性データベースと照合するための追加プロセスやツールが必要です。

3. 監視とライフサイクル管理

SBOMは時間とともに監視する必要があります。脅威状況は日々変化しており、ソフトウェアの既存コンポーネントに新たな脆弱性が見つかった場合には、製造者と利用者の双方に通知される必要があります。この機能はまだ発展途上ですが、サービスプロバイダはSBOMをリアルタイムのリスクインテリジェンスと結び付け、パッチや更新を誠実に実施できるよう支援するソリューションを提供し始めています。

2025年ドラフトの進展点

2025年のCISAドラフトガイドは、これまでSBOMの普及を妨げていた最大の課題のひとつ「来歴と完全性（provenance and integrity）」に対処する重要な前進を遂げました。

これまで、生成後のSBOMが改ざんされていないことを保証する決定的な方法はありませんでした。しかし、今回のドラフトで導入された「暗号学的コンポーネントハッシュ」により状況が変わります。各コンポーネントにハッシュ値を要求することで、SBOMはソフトウェア要素を明確に識別し、元の作成者の記録と照合して検証可能になります。これにより、従来欠けていた「否認できない証拠性」と「信頼性」が生まれ、実運用での採用に不可欠な基盤が構築されました。

もしSBOMが脆弱性管理やコンプライアンス報告に使用されるのであれば、その情報が改ざんされていないという確信が必要です。ハッシュ値の導入は歓迎すべき進歩であり、SBOMがエコシステム全体で信頼されるツールへと成熟しつつあることを示しています。

今後の課題

ハッシュ値の導入は大きな一歩ですが、SBOMを完全に実用化するためにはまだ課題が残されています。

• 標準化： ベンダーごとに異なる形式のSBOMが作成されており、相互運用性が難しい状況です。

• 脆弱性管理との統合： SBOMは脆弱性データベースや自動化ツールとより緊密に連携し、リアルタイムの洞察を提供する必要があります。

• スケールと自動化： 組織は数千のアプリケーションや更新に対応するSBOMを効率的に管理する手段を必要としています。新たな運用ボトルネックを生まない方法が求められます。

これらの課題に取り組むには、CISAのような政府機関によるさらなるガイドライン強化に加え、ベンダー、サービスプロバイダ、企業などエコシステム全体の連携が欠かせません。

SBOMの今後の展望

SBOMはもはや概念ではなく、運用上の必須要素となりつつあります。2025年のCISAドラフトは、SBOMの完全性を強化し、より広範な採用に向けた基盤を築く重要な節目となります。

しかし、真の可能性は、SBOMを多層的なデジタルトラスト戦略に組み込むことにあります。すなわち、証明書ライフサイクル管理、コード署名、そして暗号アジリティ戦略を組み合わせ、耐量子コンピュータ時代に備えることです。

デジサートは、この多層モデルを重視しています。なぜなら、単一のコントロールでサイバーリスクを完全に防ぐことはできないからです。リスクは透明性、説明責任、レジリエンスによって管理されます。SBOMはこのモデルの中で強力なツールであり、標準が進化するにつれて、実際のサイバーセキュリティ運用におけるその役割はさらに重要性を増していくと確信しています。