サイバートラストがAlmaLinuxのSBOMを活用しサイバー攻撃対策を強化

2024/07/23　ＳＢテクノロジー　株式会社　

サイバートラストが AlmaLinux の SBOM を活用しサイバー攻撃対策を強化

～ AlmaLinux から各ベンダーが構築するアプリケーションレイヤーまで SBOM の生成と管理が可能な機能や導入サービスを提供予定～

2024 年 7 月 23 日
サイバートラスト株式会社

サイバートラスト株式会社（本社：東京都港区、代表取締役社長：北村裕司以下、サイバートラスト）は、 OS レイヤーから各ベンダーが構築するアプリケーションレイヤーまで SBOM（Software Bill of Materials: ソフトウェア部品表）^※1 の生成と管理が可能な機能を提供し、サプライチェーン全体のソフトウェアの可視化と脆弱性管理の支援をさらに推進することを発表します。本取り組みでは、AlmaLinux OS をはじめベンダーが追加するアプリケーションまで最終納品物における SBOM の管理を可能にし、ソフトウェアサプライチェーンセキュリティを実現します。

背景

ソフトウェアサプライチェーンが複雑化し、産業機械や IoT 機器・サービスでのオープンソースソフトウェア（OSS）の利用が一般化するのにともない、サイバー攻撃などのソフトウェアのセキュリティ脅威が深刻化しています。ソフトウェアに含まれる脆弱性や EoL（End of Lifecycle）の適切な管理など、サプライチェーンを通じて開発されるソフトウェアの管理を効率化するため、ソフトウェアとその依存関係のリストである SBOM の活用が国内外で注目されています。米国では、2022 年の大統領令で政府機関が調達するソフトウェアに SBOM の提出を求めることが記載されています。EU においても 2022 年 9 月に草案が提出された「サイバーレジリエンス法（CRA：Cyber Resilience Act）」に、デジタル要素を備えた全ての製品に SBOM 作成のセキュリティ要件への適合が求められています。日本においても、経済産業省を中心に SBOM に関する議論が進み、2023 年 7 月には「ソフトウェア管理に向けた SBOM の導入に関する手引 Ver. 1.0」が公開されたほか、医療機器や自動車などをはじめとする業界で SBOM の対応が検討されています。

サイバートラストは、 OS レイヤーから各ベンダーが構築するアプリケーションレイヤーまで SBOM の生成と管理が可能な機能を提供し、サプライチェーン全体の可視化と脆弱性管理を支援します。今後、AlmaLinux の SBOM 生成機能をさらに拡張し、利用中のバージョンや構成に適した SBOM の提供を予定しています。
サイバートラストは、SBOM の活用と普及を推進し、国内外の産業活動におけるソフトウェアセキュリティリスクの低減に貢献します。

サイバートラストは、OSS の継続的なセキュリティ向上を目指して設立された The Linux Foundation の「Open Source Security Foundation（OpenSSF）」プロジェクトに 2021 年 7 月に参画し、OpenSSF が推進する OSS のセキュリティ強化に関する 3 つの目標と 10 項目の動員プランの中で、7 つの重点分野について具体的な活動を進めてまいりました。
この中の「SBOM の普及」と「サプライチェーンの改善」に関して、2023 年 5 月より参画している The AlmaLinux OS Foundation の活動において、グローバルで利用されている AlmaLinux のビルドシステムの強化や SBOM 生成ツールの機能拡張に貢献しています。また、サイバートラストが開発する IoT 機器向け Linux OS「EMLinux」においても SPDX、CycloneDX などの標準フォーマットに対応し、2023 年 10 月より SBOM を提供しています。さらに、SBOM を活用した脆弱性管理ツール「MIRACLE Vul Hammer」の提供により、ミドルウェアを含めた脆弱性管理を可能にしています。

このたびの発表に対して、AlmaLinux OS Foundation の Chair を務める benny Vasquez（ベニー・バスケス）氏より以下のコメントをいただいています。

The AlmaLinux OS Foundation Chair benny Vasquez 様

サイバートラストは、2023 年 5 月に The AlmaLinux OS Foundation に加入して以降、セキュリティの重要性を強くうったえ、SBOM サポートの拡大など、さまざまな形で AlmaLinux に貢献しています。わたしたちは、世界中のソフトウェアプロバイダーにとって重要となっているソフトウェアサプライチェーンセキュリティの実現にサイバートラストが貢献することを楽しみにしています。

※1: SBOM（Software Bill of Materials）とは：ソフトウェアに含まれるコンポーネントや依存関係、ライセンスの種類などをリスト化したソフトウェア部品表。ソフトウェアサプライチェーンにおいてトランスペアレンシー（透明性）とトレーサビリティ（追跡可能性）を確保するための有効な手段として、世界的に普及が進んでいます。

サイバートラスト株式会社について

サイバートラストは、日本初の商用電子認証局として 20 年以上にわたり提供している認証・セキュリティサービスと、ミラクル・リナックスのカーネル技術やオープンソースソフトウェア（OSS）の知見を応用したオンプレミス、クラウド、組込み領域向けの Linux/OSS サービスを展開しています。また、これらの技術や実績を組み合わせ、IoT をはじめとする先端分野に向けて、「ヒト・モノ・コト」の正しさを証明し、お客様のサービスの信頼性を支えるサービスを推進しています。
「すべてのヒト、モノ、コトに信頼を」。サイバートラストは、安心・安全なデジタル社会を実現します。