IoT機器向けのLinux「Armadillo Base OS」がSBOMを新たに提供
~GPLv3を含まないソフトウェア構成も可能に~
Arm+Linuxの組み込みプラットフォーム「Armadillo(アルマジロ)」を提供する株式会社アットマークテクノ(本社:札幌市、代表取締役:實吉 智裕)は、IoT機器向けLinuxディストリビューション「Armadillo Base OS(以下、ABOS)」のSBOM(Software Bills of Material:ソフトウェア部品表)を新たに提供します。ABOSのSBOMはISO/IEC5962に準拠しており、ソフトウェアのトレーサビリティが確保されるため、ユーザーはよりセキュアなソフトウェアを構成できるようになります。
IoT機器に搭載されるソフトウェアは、複数のコンポーネントを組み合わせて開発することが多く、構成が複雑化しています。一方で、世間にソフトウェアの新しい脆弱性が発見された際には、該当しているソフトウェアを利用しているかどうかを迅速に判断することが必要とされています。そこで注目されているのがSBOMです。既に米国においては、国家のサイバーセキュリティ向上に関する米国大統領令(2021年5月、EO14028)を受け、2022年2月にNIST(米国国立標準技術研究所)SP 800-218[セキュアソフトウェア開発フレームワーク(SSDF)]が更新され、米国政府調達品を中心にSBOMの整備が強く求められるようになりました。日本国内においても経済産業省が2023年7月に「ソフトウェア管理に向けたSBOMの導入に関する手引」をリリースし、SBOMの整備は社会的な要請となっています。またSBOMの活用は、ソフトウェアの脆弱性に対する課題だけではなく、ソフトウェアコンポーネントに関するライセンスの管理工数や違反リスクを低減させ、コンプライアンス上の過失を防ぐことができます。
アットマークテクノは2001年から20年以上にわたって、Linuxを搭載したArmadilloシリーズを展開しており、組み込み機器やIoTゲートウェイを開発、運用するための仕組みを提供してきました。2021年にはIoT機器に特化したLinuxベースのABOSをリリースしています。ABOSはコンテナアーキテクチャーを採用したコンパクトなOSであり、アップデート機能が標準搭載されているなど、多面的なセキュリティが考慮されています。加えて2024年2月にサービスイン予定のデバイス運用管理クラウドサービス「Armadillo Twin」では、遠隔からデバイスのソフトウェアアップデートができるOTA(Over the Air update)機能を提供するため、SBOMの運用と組み合わせてセキュリティ性の高いシステムを長期に保つことができます。
今回のSBOMの提供に合わせて、ABOSはGPLv3(GNU General Public License第3版)のソフトウェアを含まない構成に変更されました。OSS(オープンソース・ソフトウェア)利用者に広く普及しているGPLv3は、インストール用情報の開示義務、関連する特許ライセンスの許諾について定める条項が含まれ、組み込み機器に適用する際の妨げになる場合があります。ABOSはSBOMが提供され、GPLv3のソフトウェアを含まない構成になったことで、幅広い組み込み機器に利用しやすく、セキュアなソフトウェアの開発、運用を行うプラットフォームとして仕上がりました。
■ SBOMで管理できる情報の例
Package File Name | パッケージファイル名 |
Package Version | バージョン情報 |
Copyright Text | 著作権情報 |
Download Location | ダウンロードアドレス |
Concluded License | ライセンス種別 |
Package Verification Code | パッケージの識別コード |
Release Date | リリース日 |
ABOSのSBOMは、2023年11月末にWeb上で公開される予定で、ISO/IEC5962で国際標準となっているSPDX2.2のフォーマットに準拠しています。今後、ユーザーがABOSの構成を組み替えた場合でもSBOMを動的生成するツールを提供予定です。
Armadilloシリーズはパシフィコ横浜にて開催される「EdgeTech+ 2023」(主催: 一般社団法人 組込みシステム技術協会、会期: 2023年11月15日~11月17日)のアットマークテクノブース(小間番号:A-R04)にて、各種デモンストレーションと共に展示されます。
※SBOM(Software Bills of Material):ソフトウェアがどのような構成要素からなりたっているかを示すリストのことです。「ソフトウェア部品表」とも呼ばれます。ソフトウェアのトレーサビリティを確保し、脆弱性残留リスクの低減、脆弱性対応期間の低減に繋がります。
関連ページ
・Armadillo Base OSの詳細情報
https://armadillo.atmark-techno.com/guide/armadillo-base-os
アットマークテクノおよび「Armadillo」について
・株式会社アットマークテクノの詳細情報
https://www.atmark-techno.com
・組み込みプラットフォーム「Armadillo(アルマジロ)」シリーズの詳細情報
https://armadillo.atmark-techno.com
※「Armadillo」は株式会社アットマークテクノの登録商標です。その他本リリースに記載の会社名および商品名は、各社・各団体の商標または登録商標です。TM、®マークは記載していない場合があります。
※2023年11月15日に一部の文章を修正しました。
すべての画像