企業に求められるSBOMとVEXへの対応

ソフトウェアの安全性を確保する必要性がかつてないほど認識されるようになってきています。ソフトウェアを生産・利用する企業にとって、ソフトウェア部品表(SBOM)はアプリケーションのコンポーネントを可視化できる強力なツールとなり、SBOMがもたらす透明性がビジネスリスクの低減を可能にします。

では、SBOMにあるオープンソースコンポーネントに脆弱性が発見された場合、どう対応すべきでしょうか。
ソフトウェアのコンポーネントに潜む脆弱性がその製品に悪影響をもたらすか否かを顧客に伝える方法は、最近まで標準化できていませんでした。そこで、この問題に対処すべく、米国電気通信情報局(NTIA)はVulnerability Exploitability eXchange(VEX)文書形式の開発支援に乗り出しました。VEX文書により、ソフトウェア製品のサプライヤーは、製品のコンポーネントに見つかった脆弱性が以下のいずれかに分類されることを顧客に示すことができるようになります。

  1. 当該コンポーネントで見つかった脆弱性の影響を受けるかどうか、調査中である。
  2. 当該コンポーネントの脆弱性の影響を受けない。
  3. 当該コンポーネントに存在する脆弱性の影響を受けるが、推奨される対策やパッチはまだ公表されていない。
  4. 当該コンポーネントで発見された脆弱性の影響を受け、推奨される改善活動が存在する(いわゆる「セキュリティ勧告」)。

次に、どのようにVEX情報が顧客の理解を向上させるか、一例を挙げてみます。

あなたがX 社の「foobar.js ライブラリ」というコンポーネントを含んだウィジェットの顧客であるとします。脆弱性情報データベース(National Vulnerability Database)は「foobar.js ライブラリ」に重大な脆弱性があることを指摘していました(CVE-2021-9999)。しかし、X社がCVE-2021-9999の調査を行ったところ、「foobar.js ライブラリ」が自社のウィジェットに影響を及ぼすことはないことがわかり、「顧客は何もする必要がない」という旨のVEXを発表することができました。SBOMデータ、脆弱性データ、および VEXデータが可視化されたおかげで、X社の顧客はそのウィジェットに、不必要に注目せずに済んだのです。

ソフトウェア製品のサプライヤーからこのような合図がなければ、実際にはリスクがない脆弱性であるにもかかわらず、顧客はリスク対策のために莫大なコストや時間を費やしてしまう可能性があります。昨今、数多くの大企業で多くの脆弱性が発見されていますが、脆弱性対応に優先順位を付けることができれば、真に対策すべきリスクに時間を割くことができます。

企業の脆弱性管理チームは、新たに登場したVEX文書の概念を理解し、VEX文書が普及した際に有効に活用できるよう準備しておく必要があります。さらに、大企業の調達チームは、ソフトウェア製品サプライヤーに対し、調達する製品のSBOMの早急な作成や、補完的なVEX文書の発行を依頼することを検討すべきです。これにより、製品に脆弱性が発見された場合に、対応する必要のないリスクを除外し、真に脆弱な領域に対して重点的に対応できるようになります。現在、VEXはまだまだ初期段階にありますが、急速に普及しています。ソフトウェアサプライチェーン戦略にどのようにVEXを取り入れられるかを把握しておくことで、無駄なコストや時間を削減することが可能になるかもしれません。

本レポートは、KPMGインターナショナルが、2021年に発表した「Solving the vulnerable software mystery」を翻訳したものです。翻訳と英語原文間に齟齬がある場合には、当該英語原文が優先するものとします。

原文はこちらから(英語)
Solving the vulnerable software mystery

お問合せ