Southern Companyは、電力変電所のサプライチェーンセキュリティを強化するため、SBOM(ソフトウェアビルオブマテリアルズ)の作成に取り組んでいる。このプロジェクトは、ミシシッピの変電所でハードウェア、ソフトウェア、ファームウェアのインベントリ作成から始まり、ソフトウェアのサプライチェーン詳細の収集に苦労している。
SBOMは、ソフトウェアの構成要素とそのバージョンをリスト化し、セキュリティの弱点や脆弱性の特定に役立つ。これにより、NERC CIPコンプライアンス管理、脆弱性管理、ソフトウェアパッチ適用の優先順位付けにおいて電力会社にセキュリティ上の利点を提供する。しかし、一部のベンダーがSBOM情報を提供しなかったため、プロジェクトのSBOM品質には問題がある。また、ITネットワークよりもOT環境でのSBOM作成が困難である。
Southern Companyは、SBOMプログラムを運用化する計画であり、これにはベンダー契約の再構築が必要となる。OT SBOMプロジェクトの次のフェーズでは、自動化の取り組みが行われる予定である。しかし、SBOMの共有は現在不便であり、データを活用するための改善が必要である。
【ニュース解説】
エネルギー大手のSouthern Companyが、サプライチェーンセキュリティを強化し、将来的なサイバー攻撃に対する防御を固めるため、ミシシッピ州にある電力変電所のソフトウェアビルオブマテリアルズ(SBOM)の作成に取り組んでいます。このプロジェクトは、変電所で使用されているハードウェア、ソフトウェア、ファームウェアの全てを物理的にカタログ化し、その後、ソフトウェアのサプライチェーンの詳細を収集することから始まりました。
SBOMとは、ソフトウェアの「成分表」のようなもので、ソフトウェアがどのようなコンポーネントとそのバージョンから構成されているかをリスト化したものです。これにより、ソフトウェアの構成を透明化し、セキュリティの弱点や脆弱性を特定することが可能になります。Southern Companyのプロジェクトでは、特に運用技術(OT)環境でのSBOM作成に焦点を当てており、これはITネットワークよりも困難であるとされています。OT環境では、産業プロセスの稼働時間を支えるために、古いソフトウェアを使用しているレガシー機器が多く存在するためです。
このプロジェクトにより、Southern CompanyはNERC CIP(北米電気信頼性協議会の重要インフラ保護)コンプライアンス管理、脆弱性管理、ソフトウェアパッチの優先順位付けなど、セキュリティ上の複数の利点を享受することができるようになりました。しかし、プロジェクトは一部のベンダーからSBOM情報の提供を拒否されるなど、情報収集に苦労しています。
Southern Companyは、SBOMプログラムを実用化する計画を立てていますが、これにはベンダー契約の再構築が必要となります。また、SBOMの共有が現在不便であるため、データを効果的に活用するための改善が求められています。次のフェーズでは、Schneider Electric、MITRE、Ameren、EPRI、Scytheなどが参加し、SBOMプロジェクトの一部要素の自動化に取り組む予定です。
この取り組みは、サプライチェーンの透明性を高め、サイバーセキュリティの脅威に対する防御を強化することを目的としています。しかし、SBOMの作成と共有にはまだ多くの課題があり、これらを克服するためには、業界全体での協力と技術的な進歩が必要です。Southern Companyのプロジェクトは、SBOMの有効性とその実装における課題を浮き彫りにし、他の企業や組織が同様の取り組みを進める際の参考となるでしょう。
from Southern Company Builds SBOM for Electric Power Substation.
