はじめに
こんにちは!5、6月と案件の対応や問い合わせが重なり他のタスクに支障が出てきているなーがです。社会人4年目ということで複数の案件にアサインされていますが、前職ではあまり意識していなかった工数の意識や技術力不足を日々痛感しています。。。
それはさておき、6/14(金)に開催されたOSS推進フォーラム 【第8回】定例テック&ビジネス勉強会~テーマ:SBOMに参加してきました。
参加から少し時間が経ってしまいましたが、イベントレポートをお送りします。今回のテーマはSBOM基礎編ということで、2つの講演がありました。
登壇者と概要
-
サイオステクノロジー株式会社 佐々木 寛太さん
タイトル:開発者目線でのSBOMとの向き合い方
-
株式会社日立ソリューションズ ITプラットフォーム事業部 渡邊 歩さん
タイトル:SBOM(ソフトウェア構成表)活用の現状と課題
1. 開発者目線でのSBOMとの向き合い方
1つ目の講演は弊社佐々木寛太が弊社におけるSBOMに関する取り組みやSBOMツールを組み合わせたCI/CDのデモを行いました。登壇資料はこちら
弊社のSBOMに関する取り組みはこちらの記事を見てみてください!
デモではSBOM作成ツールとしてsyft、管理ツールとしてDependency-Trackを使用しました。各ツールの説明や機能、導入方法については、下記の弊社ブログ記事を確認してください!
アーキテクチャは以下の通りです。
あるアプリケーションに機能を追加するために使用するライブラリを追加する状況を想定しており、開発者が変更を加えたブランチをリポジトリにPushすると、GitHub Actionsにより以下のような流れで実行されます。
- アプリケーションのDocker Imageを作成
- Docker Imageをコンテナレジストリに登録
- 登録したDocker Imageをpull
- SyftでDocekr Imageを解析
- 解析結果をArtifactsに永続化
- 解析結果をDependency-Trackにアップロード
他人事ながら本番で動くかどうかドキドキしていましたが、無事実行されました。参加されていた方々にもSBOM導入の参考になったと思います。
2. SBOM(ソフトウェア構成表)活用の現状と課題
2つ目の講演は日立ソリューションズの渡邊 歩さんが登壇され、経産省の手引きの内容についての解説をはじめ、世界の動向と日本の取り組みについての紹介をされていました。経産省の手引きの作成を手伝われた方だったので、手引き作成の背景や裏話も話されていました。登壇資料はこちら
講演を通じての感想としてはアメリカやEUはSBOM標準化に向けた取り組みが進んでおり、日本はかなり遅れていると感じました。
しかし、医療機器に関しては他の産業と比較して特に進んでおり、薬機法改正によりSBOMの提出が義務化の流れに向かっているようです。
特に驚いたのは、EUではEUサイバーレジデンス法によりEU市場に投入される全てのデジタル製品に関してSBOMを作成することを義務づける予定であり、違反してた場合は1500万ユーロ(日本円で約20億)または全世界売上の2.5%の罰則があることでした。2025年後半の適用を目指しているようで、あと2年もありません。
また、ドイツ、韓国、中国では独自のSBOMフォーマットを作る動きがあるようでした。国防の観点から独自のフォーマットを作っているのではないかということでした。
まとめ
今回は6/14(金)に開催されたOSS推進フォーラム 【第8回】定例テック&ビジネス勉強会~テーマ:SBOMについて書きました。
個人的には講演の後にSBOMツール選定についての議論や各社の取り組みについて知る良い機会になったと思います。次回は8/2(金)でAI LT大会が開催されるそうなので、興味のある方は是非参加されてみてください!
