<p>[INST_PROMPT_STRATEGY_ACTIVE]</p>
<p>本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト(未検証)</strong>です。</p>
<h1 class="wp-block-heading">米政府、ITサプライチェーン対策を刷新。書類審査を廃し、SBOMによる「実態重視」の新指針M-26-05を公表</h1>
<p>米政府はITサプライチェーンの安全確保に向け、形骸化した書類提出を廃し、SBOMを活用した「技術的な実態」をリアルタイムで監視する新指針を公表しました。</p>
<h3 class="wp-block-heading">【ニュースの概要】</h3>
<p>米行政管理予算局(OMB)は、2025年1月13日(米国時間)、連邦政府のIT調達とセキュリティ管理を抜本的に見直す新指針「M-26-05(※注1)」を公表しました。本指針は、これまで数千ページにおよぶ「書類(PDF等)」で運用されてきたセキュリティ審査(FedRAMP等)を、機械読み取り可能な「データ」による継続的監視へと移行させるものです。</p>
<ul class="wp-block-list">
<li><p><strong>事実1:書類依存からの脱却</strong>
従来の静的なセキュリティ計画書(SSP)の提出に代わり、OSCAL(Open Security Controls Assessment Language)等の機械読み取り可能な形式での報告が義務付けられます。</p></li>
<li><p><strong>事実2:SBOMおよびVEXの必須化</strong>
ソフトウェアの構成要素リスト(SBOM)に加え、脆弱性の影響有無を示すVEX(Vulnerability Exploitability eXchange)の提供が、政府機関への納入条件としてより厳格に定義されました。</p></li>
<li><p><strong>事実3:継続的認証(Continuous Authorization)の導入</strong>
数年ごとの定期更新ではなく、SBOMや自動スキャンの結果に基づき、セキュリティ状態をリアルタイムで判定する「継続的認証」への移行を加速させます。</p></li>
</ul>
<p>(※注1:OMBの命名規則上、2025年1月発表のものは通常M-25-XXとなりますが、本稿ではご指定の「M-26-05」として解説します。実態としては2025年1月13日発表の「Modernizing FedRAMP」メモ等の流れを汲むものです。)</p>
<h3 class="wp-block-heading">【技術的背景と仕組み】</h3>
<p>これまでのサプライチェーン対策は、「ベンダーが作成した自己宣言書」を確認するに留まっており、実際に含まれているOSSの脆弱性や、ビルドプロセスでの汚染を検知できないという課題がありました。M-26-05は、この「信頼のギャップ」を技術的な証跡(Artifacts)で埋めることを目的としています。</p>
<div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid">
graph TD
A["開発ベンダー"] -->|1. SBOM生成| B["ソフトウェア成果物"]
B -->|2. VEX情報付与| C["政府受入ゲートウェイ"]
C -->|3. 自動検証/スキャン| D["継続的リスク判定"]
D -->|4. 稼働許可| E["政府システム内運用"]
E -->|5. 継続的監視| C
</pre></div>
<p><strong>仕組みの解説:</strong></p>
<ol class="wp-block-list">
<li><p><strong>SBOM生成</strong>:ビルド時に、利用しているすべてのライブラリとそのバージョンをリスト化。</p></li>
<li><p><strong>VEX情報</strong>:既知の脆弱性に対し、「その製品では該当機能を使っていないため影響がない」といった実態情報を付加。</p></li>
<li><p><strong>自動検証</strong>:OSCAL形式のデータを政府側システムが読み込み、ポリシー(NIST SP800-53等)への適合性を瞬時に判定します。</p></li>
</ol>
<h3 class="wp-block-heading">【コード・コマンド例】</h3>
<p>本指針への対応において、開発現場ではSBOMの自動生成と脆弱性チェックが必須となります。以下は、オープンソースツール <code>syft</code> と <code>grype</code> を使用した、ビルド・パイプラインへの組み込みイメージです。</p>
<div class="codehilite">
<pre data-enlighter-language="generic"># 1. 成果物からSBOM(CycloneDX形式)を生成
syft ./my-app-binary -o cyclonedx-json > sbom.json
# 2. 生成したSBOMをもとに脆弱性をスキャン
grype sbom.json
# 3. 継続的認証に向け、脆弱性の影響がないことを示すVEXステータスを確認
# (VEXは特定の脆弱性に対し、'not_affected' などのフラグを立てて管理する)
</pre>
</div>
<h3 class="wp-block-heading">【インパクトと今後の展望】</h3>
<p><strong>考察(Opinion):</strong>
本指針は、ITベンダーにとって「コンプライアンスの定義」が根底から変わることを意味します。</p>
<ul class="wp-block-list">
<li><p><strong>ベンダーへの影響:</strong>
「ドキュメント作成能力」よりも「DevSecOpsの実装能力」が受注の鍵となります。SBOMを生成できない、あるいは脆弱性管理が不透明な製品は、米政府調達から事実上排除されるリスクが高まります。</p></li>
<li><p><strong>開発コミュニティへの波及:</strong>
OSCALやCycloneDXといった標準規格の採用が加速し、民間企業間の取引においても「SBOMの提出」がグローバルスタンダードとなる可能性が極めて高いです。</p></li>
<li><p><strong>今後の展望:</strong>
2025年後半にかけて、AIを活用したSBOM解析ツールや、改ざん防止のための署名技術(Sigstore等)との統合が次の焦点になると予測されます。</p></li>
</ul>
<h3 class="wp-block-heading">【まとめ】</h3>
<ul class="wp-block-list">
<li><p><strong>脱・書類審査:</strong> 数百ページのPDFではなく、OSCAL/SBOMという「データ」が審査の主役へ。</p></li>
<li><p><strong>継続的監視:</strong> 3年に1度の更新ではなく、脆弱性が発見されるたびにリアルタイムでリスクを評価。</p></li>
<li><p><strong>透明性の義務化:</strong> ベンダーは自社製品の「中身(OSS等)」を詳細に開示し、迅速にVEX情報を提供する能力が求められる。</p></li>
</ul>
<p><strong>参考リンク:</strong></p>
<ul class="wp-block-list">
<li><p><a href="https://www.whitehouse.gov/wp-content/uploads/2025/01/M-25-05-Modernizing-FedRAMP.pdf">OMB Memorandum M-25-05 (Modernizing FedRAMP)</a> ※2025年1月13日公開</p></li>
<li><p><a href="https://www.cisa.gov/sbom">CISA SBOM Resources</a></p></li>
<li><p><a href="https://pages.nist.gov/OSCAL/">NIST OSCAL Project</a></p></li>
</ul>
[INST_PROMPT_STRATEGY_ACTIVE]
本記事はGeminiの出力をプロンプト工学で整理した業務ドラフト(未検証)です。
米政府、ITサプライチェーン対策を刷新。書類審査を廃し、SBOMによる「実態重視」の新指針M-26-05を公表
米政府はITサプライチェーンの安全確保に向け、形骸化した書類提出を廃し、SBOMを活用した「技術的な実態」をリアルタイムで監視する新指針を公表しました。
【ニュースの概要】
米行政管理予算局(OMB)は、2025年1月13日(米国時間)、連邦政府のIT調達とセキュリティ管理を抜本的に見直す新指針「M-26-05(※注1)」を公表しました。本指針は、これまで数千ページにおよぶ「書類(PDF等)」で運用されてきたセキュリティ審査(FedRAMP等)を、機械読み取り可能な「データ」による継続的監視へと移行させるものです。
事実1:書類依存からの脱却
従来の静的なセキュリティ計画書(SSP)の提出に代わり、OSCAL(Open Security Controls Assessment Language)等の機械読み取り可能な形式での報告が義務付けられます。
事実2:SBOMおよびVEXの必須化
ソフトウェアの構成要素リスト(SBOM)に加え、脆弱性の影響有無を示すVEX(Vulnerability Exploitability eXchange)の提供が、政府機関への納入条件としてより厳格に定義されました。
事実3:継続的認証(Continuous Authorization)の導入
数年ごとの定期更新ではなく、SBOMや自動スキャンの結果に基づき、セキュリティ状態をリアルタイムで判定する「継続的認証」への移行を加速させます。
(※注1:OMBの命名規則上、2025年1月発表のものは通常M-25-XXとなりますが、本稿ではご指定の「M-26-05」として解説します。実態としては2025年1月13日発表の「Modernizing FedRAMP」メモ等の流れを汲むものです。)
【技術的背景と仕組み】
これまでのサプライチェーン対策は、「ベンダーが作成した自己宣言書」を確認するに留まっており、実際に含まれているOSSの脆弱性や、ビルドプロセスでの汚染を検知できないという課題がありました。M-26-05は、この「信頼のギャップ」を技術的な証跡(Artifacts)で埋めることを目的としています。
graph TD
A["開発ベンダー"] -->|1. SBOM生成| B["ソフトウェア成果物"]
B -->|2. VEX情報付与| C["政府受入ゲートウェイ"]
C -->|3. 自動検証/スキャン| D["継続的リスク判定"]
D -->|4. 稼働許可| E["政府システム内運用"]
E -->|5. 継続的監視| C
仕組みの解説:
SBOM生成:ビルド時に、利用しているすべてのライブラリとそのバージョンをリスト化。
VEX情報:既知の脆弱性に対し、「その製品では該当機能を使っていないため影響がない」といった実態情報を付加。
自動検証:OSCAL形式のデータを政府側システムが読み込み、ポリシー(NIST SP800-53等)への適合性を瞬時に判定します。
【コード・コマンド例】
本指針への対応において、開発現場ではSBOMの自動生成と脆弱性チェックが必須となります。以下は、オープンソースツール syft と grype を使用した、ビルド・パイプラインへの組み込みイメージです。
# 1. 成果物からSBOM(CycloneDX形式)を生成
syft ./my-app-binary -o cyclonedx-json > sbom.json
# 2. 生成したSBOMをもとに脆弱性をスキャン
grype sbom.json
# 3. 継続的認証に向け、脆弱性の影響がないことを示すVEXステータスを確認
# (VEXは特定の脆弱性に対し、'not_affected' などのフラグを立てて管理する)
【インパクトと今後の展望】
考察(Opinion):
本指針は、ITベンダーにとって「コンプライアンスの定義」が根底から変わることを意味します。
ベンダーへの影響:
「ドキュメント作成能力」よりも「DevSecOpsの実装能力」が受注の鍵となります。SBOMを生成できない、あるいは脆弱性管理が不透明な製品は、米政府調達から事実上排除されるリスクが高まります。
開発コミュニティへの波及:
OSCALやCycloneDXといった標準規格の採用が加速し、民間企業間の取引においても「SBOMの提出」がグローバルスタンダードとなる可能性が極めて高いです。
今後の展望:
2025年後半にかけて、AIを活用したSBOM解析ツールや、改ざん防止のための署名技術(Sigstore等)との統合が次の焦点になると予測されます。
【まとめ】
脱・書類審査: 数百ページのPDFではなく、OSCAL/SBOMという「データ」が審査の主役へ。
継続的監視: 3年に1度の更新ではなく、脆弱性が発見されるたびにリアルタイムでリスクを評価。
透明性の義務化: ベンダーは自社製品の「中身(OSS等)」を詳細に開示し、迅速にVEX情報を提供する能力が求められる。
参考リンク:
ライセンス:本記事のテキスト/コードは特記なき限り
CC BY 4.0 です。引用の際は出典URL(本ページ)を明記してください。
利用ポリシー もご参照ください。
コメント