セキュリティー強化目的のSBOM活用は発展途上
自動車業界で「SBOM(Software Bill of Materials:ソフトウエア部品表)」の重要性が高まっている。クルマにソフトウエアが不可欠なものとなる中、2020年には国連欧州経済委員会がUN-R156※を採択し、ソフトウエアアップデート時のトレーサビリティー向上や車両の脆弱性管理が求められるようになった。しかし、SBOMの導入や活用の進捗はまだ十分とはいえない。今回は、SBOM導入の課題やポイントについて、自動車業界のSBOM標準化を主導するJapan Automotive ISACの山﨑 雅史氏、日立ソリューションズの渡邊 歩氏に話を聞いた。
自動車業界におけるSBOMの活用状況、背景にあるビジネス環境の変化などを改めて教えてください。
山﨑 ものづくりの世界にはBOM(部品表)という考え方が昔からあり、SBOMもソフトウエアが自動車に搭載されるようになってから既に30年ほどの歴史があります。そこにセキュリティーやライセンス管理の要素が入ってきたのがここ10年くらいです。最近は車載ソフトウエアのアップデートが可能になっていますが、そのトレーサビリティーを担保するためにSBOMの重要度が増しています。
渡邊 SBOMを用いることで、複雑なソフトウエアの構成要素を可視化し、リスクの早期発見や解決を実現できます。「市場に出す前にリスクのない状態にする」ことが、サプライチェーンを構成する各社の重要ミッションになっています。
山﨑 ただ、残念ながらセキュリティー強化目的でのSBOM活用はまだ発展途上だと思います。SBOMの目的はリストを作ることではなく、効率よく、あるいは自動的に脆弱性を抽出して対処できるようにすることですが、そこまでできている企業は少ないのが現状です。
どのようなことがハードルになっているのでしょうか。
山﨑 まず、ソフトウエア供給元がSBOMを提供できる状態になっているのは今のところOSSの領域だけです。車載ソフトウエアには多くのOSSが使われていますが、用途はインフォテイメント領域などに限定されているため、ほかの領域のソフトウエアをどう管理するかという問題が残っています。
また、業界標準のSBOMのルールがまだないことも課題です。OEMからTier1、Tier1からTier2へとSBOM要求が行われる際に、情報の種類や粒度、項目名などが異なるため、各社は要求があるごとにSBOMを作成しなければなりません。
渡邊 各OEMが要求するSBOMの仕様が異なっていることが原因で、サプライヤー側では個別対応の負担が高まっています。さらに、各社が情報を個々に解釈して次の取引先に伝えるため、SBOMの基準や質にばらつきが発生してしまいます。