アットマークテクノ、IoT機器向けLinux「Armadillo Base OS」のSBOM（ソフトウェア部品表）を新たに提供

　株式会社アットマークテクノは14日、IoT機器向けLinuxディストリビューション「Armadillo Base OS（以下、ABOS）」のSBOM（Software Bills of Material：ソフトウェア部品表）を新たに提供すると発表した。ABOSのSBOMはISO/IEC5962に準拠しており、ソフトウェアのトレーサビリティが確保されるため、ユーザーはよりセキュアなソフトウェアを構成できるようになる。

　IoT機器に搭載されるソフトウェアは、複数のコンポーネントを組み合わせて開発することが多く、構成が複雑化しています。一方で、世間にソフトウェアの新しい脆弱性が発見された際には、該当しているソフトウェアを利用しているかどうかを迅速に判断することが必要とされており、そこでSBOMが注目されている。

　既に米国においては、国家のサイバーセキュリティ向上に関する米国大統領令を受け、2022年2月にNIST（米国国立標準技術研究所）SP 800-218［セキュアソフトウェア開発フレームワーク（SSDF）］が更新され、米国政府調達品を中心にSBOMの整備が強く求められるようになった。日本国内においても経済産業省が2023年7月に「ソフトウェア管理に向けたSBOMの導入に関する手引」をリリースし、SBOMの整備は社会的な要請となっている。またSBOMの活用は、ソフトウェアの脆弱性に対する課題だけではなく、ソフトウェアコンポーネントに関するライセンスの管理工数や違反リスクを低減させ、コンプライアンス上の過失を防ぐことができる。

　アットマークテクノは、2001年から20年以上にわたって、Linuxを搭載したArmadilloシリーズを展開しており、組み込み機器やIoTゲートウェイを開発、運用するための仕組みを提供している。2021年には、IoT機器に特化したLinuxベースのABOSをリリースしている。ABOSはコンテナアーキテクチャーを採用したコンパクトなOSで、アップデート機能が標準搭載されるなど、多面的なセキュリティが考慮されている。加えて、2024年2月にサービスイン予定のデバイス運用管理クラウドサービス「Armadillo Twin」では、遠隔からデバイスのソフトウェアアップデートができるOTA（Over the Air update）機能を提供するため、SBOMの運用と組み合わせてセキュリティ性の高いシステムを長期に保てる。

　アットマークテクノでは、今回のSBOMの提供に合わせて、ABOSはGPLv3のソフトウェアを含まない構成に変更された。オープンソースソフトウェア（OSS）利用者に広く普及しているGPLv3は、インストール用情報の開示や特許権不主張の義務など、組み込み機器に適用しにくい場合があると説明。ABOSはSBOMが提供され、GPLv3のソフトウェアを含まない構成になったことで、幅広い組み込み機器に利用しやすく、セキュアなソフトウェアの開発、運用を行うプラットフォームになったとしている。

　ABOSのSBOMは、2023年11月末にWeb上で公開予定で、ISO/IEC5962で国際標準となっているSPDX2.2のフォーマットに準拠している。今後、ユーザーがABOSの構成を組み替えた場合でも、SBOMを動的生成するツールの提供を予定する。