アクシスコミュニケーションズは、ほとんどのアクシス製品で使用されている、LinuxベースのオペレーティングシステムであるAXIS OSのソフトウェア部品表 (SBOM) を発表しました。その目的は、サイバーセキュリティにさらに注力し、主に顧客、セキュリティ研究者、当局に対する透明性を向上させることです。
2023年1月のAXIS OS 11.2のリリース以降、AXIS OSのリリースはすべて、CycloneDX形式のSBOMが付随します。各SBOMは、AXIS OSリリースを構成するすべてのオープンソースおよびAxis独自のソフトウェアコンポーネントを含みます。現段階では、現在のライセンスと技術的な制約により、プリコンパイルされたバンドルとサードパーティの独自コンポーネントは除外される予定です。Axisは、これらのコンポーネントを今後のリリースに含めるよう取り組みます。
さて、SBOM とは何でしょうか。製造業やエンジニアリングの部品表と同様に、ソフトウェア部品表は、ソフトウェア製品(この場合はAxis OS)を構築するために必要なすべてのコンポーネントの広範かつ詳細なリストです。また、食品のパッケージに記載されている原材料のリストと比較することもできます。その商品の原材料がわかれば、何を購入したのかが正確にわかります。ソフトウェアも原理は同じです。
SBOMの主な利点には、以下の情報へのアクセスが含まれます。
- 製品を構成するすべてのコンポーネント(バージョンを含む)のリスト
- ソフトウェアサプライチェーンの透明性の高いインベントリ
- コンポーネントに影響を与える可能性のある既知の脆弱性に関する洞察
- サプライヤーが適用しているサイバーセキュリティのベストプラクティスに関する洞察
- 脆弱性評価、脅威分析、改善計画を専門とするサードパーティ向けの貴重な情報
アクシスコミュニケーションズのCTO(チーフ・テクノロジー・オフィサー)、ヨハン・ポールソン (Johan Paulsson) 氏は、次のように述べています。「Axisは、長期的なサイバーセキュリティは信頼と透明性の上に築かれると確信しています。AXIS OSのSBOMを提供することは、Axis製品に関する透明性の高い情報をお客様に提供するための取り組みにおける、新たな構成要素です。」
AXIS OSのSBOMにアクセスするには、www.axis.comからAXIS OSをダウンロードする通常の手順に沿って行います。新しいリンクから、SBOMをダウンロードして閲覧することができます。テキストエディターで開くと、そこに含まれるすべての情報にアクセスすることができます。
アクシスコミュニケーションズは、将来的にSBOMを他のAxis製品にどのように適用し、提供できるかを検討しています。