Webセキュリティ対策におけるSBOMによる脆弱性管理と脆弱性診断の違いについて

Webセキュリティ対策におけるSBOMによる脆弱性管理と脆弱性診断の違いについて

はじめに

Webサイトの運営にセキュリティ対策は欠かせません。特に重要視されるのが脆弱性対策です。Webサイトの脆弱性の対策と言えば脆弱性診断がまず思い浮かびますが、最近では、SBOMを活用した脆弱性対策の必要性を耳にします。SBOMによる脆弱性対策を行っていれば、脆弱性診断は必要ないのでしょうか？そもそも、SBOMによる脆弱性対策と脆弱性診断は何が違うのでしょうか？

SBOMによる脆弱性対策と脆弱性診断とでは、脆弱性検出のアプローチに違いがあります。どちらのアプローチもそれぞれに長所があり、一方だけに頼ることで安全が確保されるわけではありません。本記事では、Webサイトの管理をされる方向けに、これらの違いについてご説明いたします。

1.SBOMとは

SBOM（Software Bill of Materials、ソフトウェア部品表）は、ソフトウェア製品に含まれる全コンポーネントのリストを指し、ソフトウェアの部品表です。BOM（Bill of Materials、部品表）という用語は、製造業において製造する製品に必要な部品管理を効率化するために作成されるものです。IT分野のみならず産業分野などでもソフトウェアの導入が進み、OSS（オープンソースソフトウェア）の利用が広がる一方、ソフトウェアの脆弱性などのセキュリティリスクやライセンス違反などのコンプライアンス問題が増加しているため、SBOMを用いたOSSやコンポーネントなどの把握が必要になっています。中でも、SBOMを用いた脆弱性管理手法が注目されています。

Webサイトでは、サーバソフトウェアやコンテンツ管理システム、これらを構成するOSSやライブラリを含む様々なコンポーネントで構成されており、これらコンポーネントのバージョン情報や依存関係等の情報をSBOMで管理します。SBOMにリストされた情報と既知の脆弱性データベースを照合する事で、コンポーネント単位で迅速に脆弱性の有無を確認することが出来ます。Webサイトやアプリケーションの内部情報に基づいて網羅的に脆弱性が分析されるため、外部から把握できない既知のソフトウェアの脆弱性も把握できます。

一般的に、このリストの作成はツールが用いられ、インストールされたパッケージの自動識別や依存関係の分析からコンポーネントが洗いだされます。中には、実際には使用されておらずインストールだけされているようなソフトウェアや、ライブラリのレベルでの詳細な情報も収集されます。そのため、情報過多となりがちで、Web開発者を含む関係者は収集されたコンポーネントの使用状況を判別するために追加作業が必要になることがあります。

2.脆弱性診断との違い

Webサイトへの脆弱性診断は、インターネット経由で外部からアクセスし脆弱性を評価する手法が一般的です。実際の攻撃者が利用する情報や手法を模した診断により、実際の攻撃シナリオで利用される可能性のある脆弱性を検出できます。

SBOMによる脆弱性の検出とは異なり、プログラムなどを動作させた状態で診断するため実際に存在する脆弱性を検出することが可能です。また、SBOMでは、脆弱性データベースでは管理されないシステムの運用や設定ミスに起因する脆弱性は検出できません。その様な、特定の運用や設定に起因する脆弱性は、脆弱性診断によって検出する必要があります。さらに、脆弱性診断では、脆弱性のパッチが正しく機能しているか、パッチの存在していない脆弱性に対する暫定対処が正しく機能しているかといった確認も可能です。

一方で、SBOMとは異なりソフトウェア等の内部情報を持たない状態で診断するブラックボックス診断のため、診断の範囲が限られ、ネットワークやその他の運用環境の違いにより、潜在的な脆弱性を見逃すリスクがあります。

運用面での違いは、脆弱性診断はインターネット経由で実施できるのでWebサイトとは完全に独立して運用することができ、外部の専門家やサービスの利用が容易です。

SBOMでは内部環境の情報収集が必要になるため、管理対象のサーバにエージェントの導入やツールからのアクセス手段を提供する必要がある点が、脆弱性診断と大きく異なります。

3.まとめ

脆弱性診断とSBOMによる脆弱性管理では、脆弱性を検出するアプローチや検出できる範囲、運用の環境が異なることをご説明させて頂きました。それぞれの特徴とメリット・デメリットを以下の表にまとめます。