セミナー開催レポート「今注目の「SBOM」を活用したOSSコンプライアンス対策とは?トヨタ自動車様・デンソー様講演!企業のOSSガバナンスを解説」

2023年1月20日(金)に、オンラインで
「今注目の「SBOM」を活用したOSSコンプライアンス対策とは?  トヨタ自動車様・デンソー様講演!企業のOSSガバナンスを解説」
を開催しました。

なんと400名以上の方にお申込み頂く盛況ぶりで、
セミナー中にも50件以上のQ&Aが飛び交う、大変活発な情報交換の場となりました。

Q&Aの内容も非常に興味深いものが多く、
ご参加の皆様からQ&Aを後日公開してほしい!とのご要望を多くいただきました。
そこで、今回は一部抜粋にはなりますが、Q&Aの内容をご紹介したいと思います。

なお、当日のセッション動画・資料は現在公開中です。
こちらも併せてご覧ください!

  お申込みURL>>https://s.techmatrix.co.jp/form/FDdoc0019IND?k3ad=fd_blog-se202302

 

[セッション1]
OSSの企業活動における重要性とSBOMやISO/IEC 5230を活用したリスク削減について
講師:トヨタ自動車株式会社 遠藤 雅人 氏
講演内容:企業活動におけるOSS活用の重要性と、そのリスクに対応するガバナンス体制構築を、SBOMやISO/IEC 5230といった標準の動向も踏まえてご紹介いただいています。
限定公開中!セッション動画・資料はこちらからお申込みください。

  1. [質問]
    OpenChainには、企業のどんな役割の人が参加すべきでしょうか?開発者?法律家? 
    [回答]
    双方います。法務部の人や知財部、技術管理やエンジニアなど、情報が必要な人が参加していて、参加できる範囲で参加してもらえればよいと思っています。
  2. [質問]
    自動車OEMからTier1以下へ、公式にOpenChainの認証やSBOM提出を要求する動きは、既に始まっていますでしょうか?
    [回答]
    OpenChainの認証についてはわかりませんが、SBOMについてはすでに流通している例はあるようです。
  3. [質問]
    (OSSを利用する際の)初期コストは高いというのは、コミュニティーに参加してOSSの中身を理解するということでしょうか?
    [回答]
    それももちろんありますが、品質、セキュリティ、ライセンスコンプライアンスなどプロプラソフトのみの時代とは考え方の異なる業務プロセスを構築したり、ツールを整備するコスト、管理するリソーセスに関するコストなどもかかります。
  4. [質問]
    SBOMのフォーマット紹介の中で、SPDXとSPDX-Liteとの違いは項目の量かと想像しますが、SPDX、SWIDtag、CycloneDXはタグ項目で差があるのでしょうか。
    [回答]
    差はあり、目的に応じて使い分けることになるだろうと思います。
    SPDX-Liteは基本的には、ライセンスをマネージするために必要な必要最低限の項目をピックアップし、全てできるわけではありませんが、何かリスクがある場合にフラグを立てやすくするようにする目的で、OpenChain Japan WGが中心となり作成しました。また、CycloneDXはセキュリティ管理のために作られたので、それに必要な情報に特化しています。
    必ずしもこれを使わなければならないというわけではないので、サプライチェーンの課題に応じて使っていくことがよいかと考えています。
  5. [質問]
    SPDXから、SPDX-Liteを生成するツールのようなものはありますか?
    [回答]
    FossIDなどの各種商用ツールのほかOSSツールのSW360でも可能です
    https://qiita.com/yuichi-kusakabe/items/c1bfffeb5bef2085adbd
  6. [質問]
    LinuxOS(一般的なディストリビューション)を製品で利用したい場合、ソースコード解析してSBOMを作成することは必要になるのでしょうか?
    膨大なOSSアプリケーションが含まれていると思い、なにかOSに対しては簡略化の手順があるのかが気になりました。
    [回答]
    Linuxカーネルに限らず、どこまでの粒度でSBOMを作るのかについて、一つの解はないというのが現状ですが、「何の目的でSBOMを作っているのか」が観点になると思います。
    例えばライセンス情報の授受という目的ですと、ライセンスが変わらない範囲を1つのパッケージとしてみなすことができる場合もあるでしょう。
    脆弱性管理であればもっと細分化して管理することが必要な場合もあるでしょうし、そこはサプライチェーンの中でどういった運用をするのか、特にこのようなメジャーなOSSであれば予め決めておくとよいでしょう。

 

[セッション2]
SBOMを有効に活用するためのOSS管理の仕組みづくり
講師:株式会社デンソー 酒井 啓介 氏
講演内容:OSS活用、管理ルールを標準化したデンソー様での、サプライチェーン全体のライセンス管理と今後のSBOM活用に向けた取り組みをご紹介いただいています。
限定公開中!セッション動画・資料はこちらからお申込みください。

  1. [質問]
    運用フローを拝見させていただき、OSSの利用申請については理解できました。
    利用したいOSSのライセンスについて、ポリシーの確認や相談は製品リーダーがOSS管理リーダーへする運用でされているのでしょうか。ライセンスに関する知財部門としても担っているのでしょうか。
    [回答]
    各部でOSS製品リーダーやOSS管理事務局の代表者がいるので相談しながら、組織内で対応するのが基本です。
    全社事務局からデンソー内でよく使われるライセンスの一覧がリスト化されていて、このライセンスの場合、何すればいいのかはデータベースで公開されています。
    各部の代表者がそれを確認して、このライセンスの場合、どう対応するのか、特別な対応項目があるのかなどの情報をデータベースから取って、対応しています。
    マイナーライセンスなどは個別確認し、わからない場合は技術開発推進部に確認してもらい、対応してもらっています。必要に応じて知財部門、法務部門への相談も可能です。
  2. [質問]
    OSS以外の外部から調達したS/W(商用ソフトウェア、サプライヤー作成のソフトウェア)の管理はどのようにされていますでしょうか。このような情報もツールで検出されているのでしょうか。
    [回答]
    はい、開発部門でOSS管理ツールによるスキャンなどを実施、管理しております。
    商用ソフトウェアは、ソースコード開示されておらず、スキャンできない場合がほとんどなので、OSS利活用情報の提供を求めています。
    サプライヤ作成のソフトウェアは、発表したとおりOSS情報の提出を要求します。ソースコードを受領できる場合は管理ツールによるスキャンも弊社内で行い、整合していることを確認します。ソースコードを受領出来ない場合は、締結した契約どおりにOSS情報の提供をしてもらっています。
  3. [質問]
    意図しないOSSの混入をツールで防げた事例はあったでしょうか?導入する際に費用対効果を考えらるため、どれくらいの効果が過去にありましたでしょうか?
    [回答]
    具体的な件数などは把握していませんが、FossID導入当時はOSSを全く使っていないと思っていた製品を社内でスキャンした結果、OSSが見つかり、サプライヤに確認したところOSSを利用していたと回答を得たという事例がありました。
  4. [質問]
    OSS利用申請の可否について何を見て判断しているのでしょうか?
    [回答]
    OSSライセンス毎に使用許可/禁止を規定しており、そこにあてはめて判断します。
    使用禁止ライセンスをどうしても使いたい場合は、そのライセンスを使う場合の対処方法とリスクを理解してもらい、最終的な判断を各部に任せています。
  5. [質問]
    サプライヤからのOSSデータ受領において、提供データが不十分だったりというような問題はありませんでしょうか?
    [回答]
    主に発生するのは、Tier2以降のサプライヤからの情報に不足があった事例です。
    デンソーとサプライヤがそれぞれ管理しないといけないと思っていた情報に齟齬があった場合に問題が発生します。この場合は、個別にデンソーのポリシーや意図を説明して、追加の対応をお願いしています。
  6. [質問]
    SPDX-Lite以外を求められるお客様もいるとのことですが、他のフォーマットで不足する情報についてはどのように補完しているのでしょうか?
    ブランクで提出する 、補完をサプライヤ側に依頼する、など
    [回答]
    サプライヤから受領したものであればサプライヤに不足情報の補完を依頼します。社内で開発したコードであれば社内で補完します。
    サプライヤによっては管理していない項目の場合があるので、その時はお客様と相談して対応方法を検討します。
  7. [質問]
    ライセンスの取り扱いに関する規定の策定は、どの程度お時間かかりましたか?
    [回答]
    元々各組織で規定していたものを集約したため、かなり短い期間の2カ月くらいでベースができました。そのあとで専門組織、専門家などで検討しましたので半年くらいで完成しました。
  8. [質問]
    SPDX-Liteについては、全項目埋めた状態で管理されているのでしょうか?
    またはブランクを許容しているのでしょうか?
    [回答]
    お客様が必須項目とされている部分は全て入力することが基本となります。
    必須ではない項目については、可能な限り入力し、ブランクとすることもあります。

 

[セッション3]
組み込みソフトウェア開発のコンプライアンスリスクを低減する手法とは?テクマトリックスが提案するコンプライアンス対策ソリューション
講師:テクマトリックス株式会社
限定公開中!セッション動画・資料はこちらからお申込みください。

  1. [質問]
    OSSの脆弱性に対応する為には、SBOMで管理することで具体的にどのような使い方ができるのでしょうか。
    [回答]
    まず1つは既知の脆弱性の管理です。
    FossIDでは、SBOMで管理しているOSS・バージョンに該当する既知の脆弱性の一覧表がレポートで確認できます。もう1つが、新しい脆弱性が発生した場合の対応です。OSSの脆弱性は、対応をせずに放っておくことが問題であり、新しい脆弱性が見つかった場合は、すぐに対応することが必要になってきます。
    FossIDでSBOM管理しておけば、SBOMに含まれるOSSコンポーネントに新しい脆弱性が登録された時点で、アラート機能で関係者に通知できます。これにより、迅速に脆弱性への対応ができるようになります。
  2. [質問]
    CIツールはJenkinsでイメージ構成例がありましたが、他のAzure DevOpsやGitHub Actionsなど対応可能なツール事例を教えてください。
    またソース管理は、GitLab以外でも柔軟に対応可能でしょうか。
    [回答]
    CIツールに関しては、Jenkinsを用いた構築例をご紹介しましたが、Azure DevOpsの場合では Azure Pipelines 、GitHub Actions 、 GitLab CI/CD など他のツールなどでも、もちろん可能です。弊社で環境構築も行うことも可能です。
    ソース管理に関しても git のプラットフォームGitLab、Github、Bitbucket、GitBucketなど多々ありますが、もちろん対応することができますし、Subversionや他のSCMに関しても柔軟に対応可能です。SubversionからGitへの移行のお手伝いというのもテクマトリックスで行っています。

 

ソニーグループ様が語る!組織的なOSS管理を担うOSPOとは~サイバーセキュリティ対策の強化とSBOMの最新動向~

2023年10月12日に実施したOSSコンプライアンスセミナーの講演動画+講演資料を提供中です。

OSSコンプライアンスセミナー