これまで SBOM とは金融や社会インフラ等、一部の業界だけのものと思っていたが、今回のインタビューを経てその考えは変わった。
アメリカ合衆国では政府向けソフトウェアや医療機器分野などで SBOM(Software Bill of Materials:ソフトウェア部品表)の作成と提出が義務化されている。こうした背景を受け国内でも、金融庁や経済産業省のガイドライン等に SBOM が記載されるようになった。
金融庁
https://www.fsa.go.jp/news/r6/sonota/20241004/18.pdf
経済産業省
https://www.meti.go.jp/press/2024/08/20240829001/20240829001-1r.pdf
「SBOM は以前の AI と似てキーワードだけで期待感が先行しており、本質的な SBOM 運用についてフォーカスされていません」こう語るのは Cloudbase株式会社 プロダクトマネージャー 大峠 和基(おおたお かずき)氏だ。
10 月、東京・名古屋・大阪・福岡で開催される Security Days Fall 2025 で「エージェントレス SBOM スキャンではじめる脆弱性管理 ~ Cloudbase で実現する SBOM 管理・SSVC トリアージ」と題した講演を行う大峠氏に、SBOM の基礎から国内最新状況、Cloudbase SBOM 機能が果たす役割について話を聞いた。
--
―― まず SBOM とは何か、なぜ必要なのか、誰が対応する必要があるのかについてお聞かせください
SBOM は日本語で表すと「ソフトウェア部品表」になります。具体的にはソフトウェアを構成するコンポーネントの内容、バージョン、依存関係を記述したファイルで、エクセルのような表形式で扱えるデータです。
アメリカでは 3 ~ 4 年前から SBOM の保管・やり取りが必須となっており、徐々に日本にもその波が来ています。特に金融系では SBOM の保管・処理が要件として定められてきています。
● Web アプリケーションに特化
SBOM というキーワードを扱う際には大きく 2 つの文脈があります。一つは組み込み系分野での SBOM で、ここでは多重構造となった委託先のソフトウェアの部品表を上流に流して管理することを目的としています。我々はもう一つの文脈、主に Web アプリケーション分野に対しての SBOM 管理と、それを用いた脆弱性管理への応用に特化した製品を提供しています。
―― このタイミングで Cloudbase が SBOM 機能をリリースする理由は何ですか?
アメリカでの義務化から数年経って、日本でも SBOM というキーワードが市場で重要になってきていると感じています。経済産業省や総務省、金融庁が SBOM について言及し始めたことも変化の一つです。今年春の IPA の情報処理技術者試験にも SBOM というキーワードが出題され、一般化してきています。
弊社のクラウドセキュリティ製品でも、以前より内部処理ではSBOMを扱っていました。仮想マシン、コンテナ、FaaSといったサービスから完全自動でSBOMを生成し、セキュリティ診断のために用いています。近年の流れを受けて、単にセキュリティ診断のためだけにSBOMを扱うのはもったいないのではないか、これをお客様側にも開放することによって、SBOM管理にかかる工数の課題を解決できるのではないか、ということでリリースに至りました。
● エージェントレスと SSVC トリアージ ~ 差別化ポイント
―― 顧客に見える形で提供する、ということはどういうことでしょうか?
具体的には、 Security Days Fall 2025 のタイミングで、インベントリ画面を公開予定です。クラウド環境内のすべての SBOM をインベントリ化し、Log4j のコンポーネントが含まれている仮想マシンを洗い出したり、Ubuntu の特定バージョンを使っている OS を絞り込むなどの機能を紹介します。
―― 主要な SBOM ツールと比較した Cloudbase の優位点は何ですか?
2 点あります。
第 1 にエージェントレスです。通常、SBOM を生成するには VM 内でのスクリプト実行などが必要となりますが、弊社製品はお客様側のセットアップ工数なしで、かつ本番環境に一切の影響を与えずに SBOM を生成できます。
具体的には、AWS、Azure、GCP の組織ルート権限をいただければ、その配下のプロジェクトをすべて収集し、プロジェクト内のVM、コンテナ、FaaS などの各種サービスを網羅的にスキャンします。セットアップは ルート権限を繋ぐ際の1 回だけ。数千台の VM に個別インストールする必要がありません。クラウド環境に変化があった際も全自動でトラッキングされるので、新しいVMを増やしたり減らしたりしたとしても漏れなくスキャンでき、網羅性と運用効率を両立できます。
第 2 に SSVC(Stakeholder-Specific Vulnerability Categorization)によるトリアージです。SBOMは保持するだけではあまり意味をなしません。SBOMを導入することの目的のうち1番目に大きいのは脆弱性管理です。SBOM内に含まれるコンポーネントの脆弱性を検出し、脆弱性を修復することを目的として、手段としてSBOMを扱います。一方で、SBOMを用いて脆弱性を検出できたとしても、「どの脆弱性を対処するべきか」を判断することは非常に難しい。そこで、弊社は SSVC という比較的新しいトリアージ手法を採用しています。
SSVC のポイントは、脆弱性情報だけではなく、資産情報と脅威情報を用いてトリアージすることです。脆弱性の悪用状況や資産の使用状況、インターネットへの露出状況などをもとに判断します。弊社の実験では、数万件の脆弱性を数十件に絞り込める強力な効果を確認しています。
通常、SSVCでスコアリングすること自体に工数を要するのですが、我々は元々 CSPM を強みとしているので、SSVCでトリアージする際に必要となるシステム構成情報等を自動で取得できます。それを SBOM と合わせることで SSVC に必要な情報収集の工数を新規にかけずに、高品質なトリアージを実現できます。
● SBOM 作成後の運用視点を欠ないために
―― SBOM に関して日本市場には現在、どんな課題があると思いますか?
SBOM は以前の「AI」という言葉と似て、キーワードが先行して期待感を形成しており、市場の期待と実際の運用における課題にはギャップが存在します。内容を十分理解せずに単に 「SBOM 機能と銘打っている機能の有無」だけで製品が比較されることも多く、本質的な SBOM 運用にフォーカスされていません。SBOM を管理して何を達成したいのかが本来重要であり、例えば脆弱性管理への応用が目的なのであれば、脆弱性管理にかかる工数感や課題をどれくらい解決できるのか、という観点が重要です。我々は、「SBOM」というキーワードを単に流行りのものとして扱うのではなく、そこにある本質的な課題の解決を行っていきたいと考えています。
● メッセージ:SBOM で何を達成したいのか?
―― 当日 Security Days Fall 2025 会場に来られる方へのメッセージをお願いします
SBOM という言葉をバズワードや銀の弾丸として扱うのではなく、SBOM を使って何を達成したいのか、そのためにどういう運用があるべきかを一緒に考えていきましょうというのが弊社のメッセージです。当然弊社の自社製品についての強みも打ち出しますが、業界全体で考えるべき本質的な問題提起をしたいと思います。
講演では特にエージェントレス スキャンと SSVC による脆弱性トリアージを中心に、実際に動作するデモンストレーションも交えてご紹介予定です。インベントリ機能についても、Security Days Spring 2025 に向けて開発を進めており、実際の画面をお見せできる予定です。
SBOM は単なる技術的な仕組みではなく、組織のセキュリティ戦略を支える重要な基盤です。会場では具体的な運用イメージを共有し、参加者の皆様と有意義なディスカッションができることを楽しみにしています。
―― ありがとうございました
Security Days Fall 2025
エージェントレス SBOM スキャンではじめる脆弱性管理
―Cloudbaseで実現するSBOM管理・SSVCトリアージ―
大阪講演 10.10(金) 17:05-17:45 | RoomD
Cloudbase株式会社
エンタープライズ事業本部
上林 亜希 氏
東京講演 10.23(木) 11:20-12:00 | RoomA
Cloudbase株式会社
プロダクトマネージャー
大峠 和基 氏
