Japan SBOM Summit 参加レポート

The English version follows below.

Japan SBOM Summitとは？

Japan SBOM Summitは、Linux Foundationが主催する、様々なコミュニティや団体の参加者が集い、SBOMに関する情報交換や現状を共有するためのイベントです。2024年11月1日に六本木の国際文化会館で行われました。日本で行われるSBOMのイベントはおそらく初めてなのでないかと思います。

今回のJapan SBOM Summitでは、Linux Foundation関連のOpenSSFやOpenChainプロジェクトのメンバーだけでなく、SBOMフォーマットのCycloneDXを管理しているOWASPプロジェクトや経済産業省からも参加がありました。

SBOM(Software Bill of Materials)とは

SBOM とは、作成するソフトウェアとそのソフトウェアで利用する外部のライブラリやソフトウェアの⼀覧とライセンス・コピーライト等のメタ情報で構成されるリストを指します。SBOM を利用することで、ソフトウェア間の依存関係やライセンス情報を把握することが可能です。このため、組織の間で共通の機械可読なフォーマットとして、ソフトウェア情報を管理・活用することができるというメリットがあります。

ソフトウェアサプライチェーンセキュリティの透明性を担保するための一つのツールとして注目されており、脆弱性管理やOSSのライセンス管理への活用が期待されています。

セッションまとめ

Japan SBOM Summitでは以下のセッションがありました。

Pitfalls of Using SBOM for Open Source Compliance

Oscar Valenzuela氏, Amazon, Principal Open Source Engineer

• オープンソースコンプライアンスにおけるSBOMの活用に関するセッション
• SBOMの品質は選択したツールに依存するため、SCAツールが完璧なSBOMを自動的に生成することを考えるのは現時点では現実的ではない
• SBOMに含まれるデータ品質の検証を行う必要がある

Higher Accuracy SBOM Information Using Building Tracing

Armijn Hemel氏, Tjaldur Software Governance Solutions

• ソフトウェアのビルドトレースを使ってSBOMを生成するセッション
• ビルドトーレスによってビルド時により正確なSBOMの情報を取得することができる
• FFmpegの例やトレーシングを使ったプロジェクトの例を紹介
  • TraceCode

SBOMに関する施策について

見次正樹氏 経済産業省 商務情報政策局 参事官

• 日本におけるSBOMの制作に関するセッション
• サイバー・フィジカル・セキュリティ対策フレームワークを中心に具体的な対策の一つとしてSBOMの普及が進められている
• SBOMの導入に関する手引きもその一つ

OpenChainとSBOMがめざすサプライチェーンの信頼関係

渡邊歩氏 日立ソリューションズ シニアOSSスペシャリスト

• SBOMの動向とOpenChainプロジェクトの活動・認証制度に関するセッション
• OpenChain仕様の認証制度によってサプライチェーンのプロセスの信頼性を担保する
  • オープンソースのライセンスコンプライアンスに関する標準規格：OpenChain ISO/IEC 5230
  • オープンソースのセキュリティアシュアランスに関する標準規格：OpenChain ISO/IEC 18974

SBOM活用の現実 – SPDX Lite で解決!

小保田規生氏 ソニーグループ シニアOSSストラテジスト

• OpenChain Japan WG SBOMサブグループ・OpenChain SBOM study groupの紹介やSPDX Liteに関するセッション
• あらゆるサプライチェーンにおいて技術者だけでない様々なステークホルダーが効率よくSBOMをやり取りするために作られた仕様がSPDX Lite
• OpenChain Japan WGで議論されたものをグローバルコミュニティに共有している

多層化しているソフトウエア脆弱性とその対応戦術

岡田良太郎氏 OWASP Japan

• SBOMを活用した脆弱性への対策に関するセッション
• OWASPのCycloneDXでも脆弱性情報などの外部参照情報の拡張や連携ツールがあるが、対象のソフトウェアのレイヤや状態によって対応手法が異なるため、脆弱性を発見してからのプロセスが課題
• 教材の充実だけでなく、地域や業界で対応力を上げていく共同訓練が必要ではないか

SBOM x OpenSSF (Open Source Security Foundation)

池田宗広氏 サイバートラスト リードアーキテクト

• サプライチェーンセキュリティにおけるSBOMの活用やOpenSSFの取り組みに関するセッション
• OpenSSFにはSBOMを活用するためのプロジェクトもいくつか存在する
  • GUAC: SBOM、依存性情報、脆弱性情報のグラフによる可視化
  • Protobom: SPDXやCycloneDXなどの異なるフォーマットを統一的な SBOM データ構造として表現するためのプロトコルバッファ
  • sigstore: 署名と署名検証のためのツールおよびインフラ
  • SBOMit: SBOM に含まれるコンポーネントについて、サプライチェーン全体の情報を含むメタデータを定義する試み
• OSSはデジタル公共財であり、OpenSSFなどのコミュニティへの参加は共有財産を守るという意思表示になる

OSPOが拡大する世界動向とOSS参加のビジネス価値

桑田昌行氏 ソニーグループ 統括課長

• OSPO(Open Source Program Office)としてのOSSへの参加やSPDXとの関わりについてのセッション
• OSSへの参加は必要不可欠であり、OSSへの参加・貢献はGDPに影響するという研究もある
• OSPOの成熟モデルとしてオープンソースの企業進化ステージが定められている
  • このステージをあげていくことが一つの指標

自動車業界におけるコミュニティを通じたSBOM活用の推進(OpenChain Automotive WG, AGL OSPO EG)

遠藤雅人氏 トヨタ自動車 グループ長
日下部 雄一氏 ホンダ技研工業 リードアーキテクト
伊藤義行氏 ルネサスエレクトロニクス プリンシパルスペシャリスト

• サプライチェーンの様々な立場からみる自動車業界における取組についてのセッション
• サプライチェーン内で適切にSBOM等のOSS情報が共有され、義務履行されるようにルール作りをすると共に、各社の対応レベルの底上げが必要になる
• AOSP(Android Open Source Project)やAGL(Automotive Grade Linux)におけるSBOMの活用や課題の紹介
• サプライチェーンの上流の立場としてSBOMを生成しても顧客ごとに要求がバラバラであったり、脆弱性情報の提供手段が定まっていなかったりする

参加してみて

今回参加してみて、日本政府機関の取り組みについての理解が深まりました。現在海外各国でSBOMのガイドラインが公開されていますが、日本国内でもサイバーセキュリティ政策を中心にSBOMの普及が進められています。SBOMの生成や提供が義務化するかどうかは、今後も注目したいと思います。

また、今回は様々な団体、コミュニティからの参加もあり、それぞれのコラボレーションが注目されているとともに、日本のOpenChainコミュニティによって提案されたSPDX Liteが採用されたように、国内での議論もより重要になっていると感じます。業界やサプライチェーンによって利用されるSBOMは様々で、SBOMを生成するツールは増えてきていますが、SBOMを検証したり、変換したり、統合したりするツールはまだ普及していません。コミュニティへの参加が増え、より安全なエコシステムができることを期待します。

What is Japan SBOM Summit?

The Japan SBOM Summit is an event organized by the Linux Foundation It was held on November 1, 2024 at the International House of Japan in Roppongi, Tokyo. This is probably the first SBOM event held in Japan.

This Japan SBOM Summit was attended not only by members of the Linux Foundation-related OpenSSF and OpenChain projects, but also by the [CycloneDX](https://owasp.org/www-project- cyclonedx/), as well as from the OWASP project and the Ministry of Economy, Trade and Industry, which manages the SBOM format.

What is SBOM(Software Bill of Materials)?

The SBOM is a list of software, external libraries and software used by the software, and meta-information such as licenses, copyrights, etc. By using the SBOM, it is possible to identify dependencies and license information among software. This has the advantage that software information can be managed and utilized as a common machine-readable format across organizations.

It is attracting attention as one tool for ensuring transparency in software supply chain security, and is expected to be used for vulnerability management and OSS license management.

Session Summary

The Japan SBOM Summit included the following sessions

Pitfalls of Using SBOM for Open Source Compliance

Oscar Valenzuela, Amazon, Principal Open Source Engineer

• Session on Using SBOM in Open Source Compliance
• It is not realistic at this time to expect SCA tools to automatically generate a perfect SBOM, as the quality of the SBOM depends on the tool selected
• Need to validate the quality of data contained in SBOM

Higher Accuracy SBOM Information Using Building Tracing

Armijn Hemel, Tjaldur Software Governance Solutions

• Sessions that use software build traces to generate SBOM
• Build trace allows for more accurate SBOM information at build time
• Examples of projects using FFmpeg examples and tracing
  • TraceCode

Policies related to SBOM in Japan

Mitsugi Masaki, Director, Cybersecurity Policy Planning Office, Commerce and Information Policy Bureau, Ministry of Economy, Trade and Industry (METI)

• Session on SBOM Policy in Japan
• SBOM is being promoted as one of the concrete measures centered on the Cyber Physical Security Framework.
• Guidance on SBOM implementation](https://www.meti.go.jp/press/2023/07/20230728004/20230728004.html) is one of them.

OpenChain and SBOM aim for supply chain trust

Ayumi Watanabe, Hitachi Solutions, Ltd.

• Session on SBOM trends and OpenChain project activities and certification schemes
• Ensuring trustworthiness of supply chain processes through certification schemes for OpenChain specifications
  • Standard for Open Source License Compliance: OpenChain ISO/IEC 5230
  • Standard on security assurance for open source: OpenChain ISO/IEC 18974

The Reality of SBOM Utilization - Solved with SPDX Lite!

Norio Kobota, Senior Open Source Strategist, Sony Group Corporation

• Introduction of OpenChain Japan WG SBOM subgroup and OpenChain SBOM study group and session on SPDX Lite.
• SPDX Lite is a specification designed for efficient SBOM exchange among various stakeholders, not only engineers, in any supply chain.
• The OpenChain Japan WG is discussing and sharing with the global community.

Multilayered Software Vulnerabilities and Response Tactics

Riotaro Okada, OWASP Japan

• Session on countermeasures against vulnerabilities using SBOM
• OWASP's CycloneDX also has tools for extending and linking external reference information such as vulnerability information, but the process after discovering vulnerabilities is an issue because response methods differ depending on the layer and state of the target software
• In addition to the enhancement of educational materials, it may be necessary to conduct joint training to improve response capabilities in the community and industry.

SBOM x OpenSSF (Open Source Security Foundation)

Munehiro Ikeda, Lead Architect, Cybertrust Japan

• Sessions on the use of SBOM in supply chain security and OpenSSF initiatives
• OpenSSF has several projects to leverage SBOM.
  • GUAC: graphical visualization of SBOM, dependency and vulnerability information
  • Protobom: protocol buffer to represent different formats such as SPDX and CycloneDX as a unified SBOM data structure
  • sigstore: Tools and infrastructure for signatures and signature verification.
  • SBOMit: an attempt to define metadata for the components included in the SBOM, including information about the entire supply chain
• OSS is a digital public good, and participation in communities such as OpenSSF demonstrates a willingness to protect common property

Global trend of OSPO expansion and business value of OSS participation

Masayuki Kuwata, Sony Group Corporation

• Session on participation in OSS as OSPO (Open Source Program Office) and involvement with SPDX
• Participation in OSS is essential and participation and contribution to OSS affects GDP study.
• OSPO's Maturity Model defines the stages of open source corporate evolution.
  • Raising this stage is one indicator.

Promoting the use of SBOM through communities in the automotive industry(OpenChain Automotive WG, AGL OSPO EG)

Masato Endo, Manager of OSPO, Toyota Motor Corporation
Yuichi Kusakabe, Chief Architect, Honda Motor
Yoshiyuki Ito, Principal Specialist, Renesas Electronics

• Session on initiatives in the automotive industry from various perspectives in the supply chain
• Rules need to be established to ensure that SBOM and other OSS information is shared appropriately within the supply chain and that obligations are fulfilled, as well as to raise the level of support from each company.
• Introduction of SBOM utilization and issues in AOSP (Android Open Source Project) and AGL (Automotive Grade Linux)
• Even if SBOM is generated from an upstream position in the supply chain, each customer has different requirements, and the means of providing vulnerability information is not defined.

Closing Remarks

After participating in this event, I have a better understanding of the efforts of Japanese government agencies. Currently, SBOM guidelines are being released in various overseas countries, and SBOM is being promoted in Japan as well, especially for cyber security policies; it will be interesting to see whether the generation and provision of SBOM will become mandatory or not.

In addition, there were participants from various organizations and communities at this year's conference, and their collaborations are attracting attention, and I feel that domestic discussions are also becoming more important, as seen in the adoption of SPDX Lite proposed by the OpenChain community in Japan. The SBOMs used vary by industry and supply chain, and while tools for generating SBOMs are increasing, tools for verifying, converting, and integrating SBOMs are not yet widespread. We hope to see more participation in the community and a more secure ecosystem.

あとがき：P.S.

読んでいただきありがとうございます。Japan SBOM Summit、今回は、政策や動向の話が多いように感じたので、次回があるならばSBOMを活用する話が増えるといいなと思いました。そのためにもツールやコミュニティに今後も貢献できればと思います！

Thank you for reading! Japan SBOM Summit, this time I felt that there was a lot of talk about policies and trends, so I hope that next time there will be more talk about utilizing SBOM. I hope I can continue to contribute to the tools and community for this purpose!