書評
『旬刊経理情報』2025年9月10日特大号の書評欄(「inほんmation」・評者:櫻庭 信之 氏)に『自社製品・サービスへのサイバー攻撃対応の企業実務―組織的・法的対策の進め方』杉山 一郎・寺門 峻佑〔編著〕を掲載しました。
昨年暮れに発効したEUサイバーレジリエンス法(CRA)は、GDPRを彷彿とさせる厳しい制裁を設けた。なかでも影響の大きい14条は、全面適用に先行して来年 9月11日から適用され、EUと関わるメーカーには残された時間はあまりない。CRA付属書Ⅰの必須要件はこうしたメーカー にソフトウェア部品表の作成を求めたが、本書の随所で言及されるSBOMがこのソフトウェア部品表である。
もともとライセンス管理に使われていたSBOMが脆弱性管理として注目を集めたのは、SolarWindsのサプライチェーン攻撃を機とするアメリカ大統領令である。ゼロディに始まるその攻撃手法は、ソフトウェア更新プログラムにマルウェアを仕込みトロイの木馬化するステルスな長期潜伏型であり、正規のセキュリティツールを利用して機密データを大量に窃取した。要素の可視化・追跡の必要は、その後世界中で大騒ぎとなったLog4jの脆弱性で決定的となる。
日本でも一部の産業や医療・防衛分野で準備は進んだが、多くはできていない。ある統計によると、SBOM導入済み/検討中が事業者に占める割合は、アメリカが8割に対し日本はわずか数パーセントにとどまった。
わが国のガバナンス論は人によるしくみに偏り、技術という重要な視点が欠落している。結果、セキュリティをいくら完備したつもりでもサプライチェーン・ガバナンスは実現しないが、本書では技術を十分取り入れる試みがなされている。
編著者の杉山氏は、旧来のフォレンジック実務に変革をもたらしたライブ保全「ファストフォレンジック」の命名者であり、先駆的な実務家である。本書は期待通り、未だ確立しないIoT製品・サービス特化の対応に関し、多くの有用策を精力的に提示する。
CI/CDは今やクラウドのインフラ構築に必須であり、モバイルアプリケーション開発でも広く使われる。DevSecOpsのテストでは既知の脆弱性の自動検知ツールが使われ、シフトレフトを志向する。こうした自動化のトレンドに対し、本書は推奨しつつも、品質と重複しないセキュリティを見出す。セキュリティとリーガルの視点はビジネス要件の定義段階から加える。手作業のウォーターフォールのみとする人月ビジネスも依然多いなか、PSIRTは独立性をもって初期からギャップを埋め、諸連携やシフトライト等大切な役割を担う。リリース後の製品の問題、社外関係者への対応ほか各局面で本書は即戦力となる。
サイバーセキュリティは各法域を複雑に跨ぐが、本書ではCRAを含む欧州・アメリカの法令がわかりやすく効果的に解説されている。またゼロディでも有責な事案、CVEの採番があっても欠陥も不適合も認定できない事案、第三者の故意行為(攻撃)の犯罪性・洗練性からターゲット企業を無答責とすべき事案、 Living Off The Landと商法上のただちに発見できない瑕疵(現・不適合)の関係等々に現実では直面する。国内法の解説は個別の深部や例外の検討に入る前の、押さえておくべき基礎一般を提供する。本書は技術者、法務部、経営陣、関係者を問わず有益であろう。
櫻庭 信之(東京電機大学CySec・弁護士)
記事掲載書籍をカートに入れる