SBOMを導入・構築済みの組織はわずか14%–タニウム、SBOM実態調査

今回は「SBOMを導入・構築済みの組織はわずか14%–タニウム、SBOM実態調査」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 タニウムは4月25日、「国内におけるSBOM(ソフトウェア部品表)に関する実態調査」の説明会を開催。アジア太平洋日本地域 Chief of Staff 兼 日本法人パートナービジネス・マーケティング最高責任者の齊藤純哉氏が調査結果とセキュリティ動向について説明した。

 同調査は、大企業・官公庁・自治体のIT管理者、経営企画部門などDX時代の意思決定者を対象に実施。調査期間は2月20~28日で、有効回答数は651だった。

 企業経営に直結するソフトウェアサプライチェーンに対する脅威が増大しており、各国がソフトウェア管理手法のSBOMに注目している。米国においては2021年に大統領令にてソフトウェアサプライチェーンセキュリティの強化が発表され、日本においても2023年に経済産業省から「SBOM導入に関する手引(案)」が公開された。同調査では、より具体的なガイドラインが見えてきた中で各組織の担当者がどのような対応をしているのかを調べたという。

 SBOMの認知度は、「主な機能を含め、よく知っている」「名前は知っている」を合わせて75%に上った。また、米国の大統領令で政府系システムに対してSBOMの構築が義務付けられたことを「知っている」と回答したのは71%(n=486)。経産省が「サイバーフィジカルセキュリティ確保に向けたソフトウェア管理手法等検討タスクフォースの検討方向性」を公開していることを「知っている」と回答したのは66%(n=486)だった(表1)。

 他方、「SBOMを導入・構築済み」の組織は全体でわずか14%だったが、「SBOM導入・構築作業中」は23%、「SBOM導入・構築を検討中」も同じく23%と導入に前向きな組織が大半を占めた。また、業種別で見ると「導入・構築済み」が最も多かったのは製造業で18%(n=163)だった(表2)。

 SBOMの対象領域を「全社」と回答したのは56%(n=291)、「社内の特定の部署またはシステム」は43%(n=291)だった。対象を特定のシステムに絞っている組織では「DMZなどに配置する外部との連携用サーバー」がSBOM対象優先度の高いシステムとして挙げられ、次に「社内利用を前提とした業務系サーバー」や「ECサイトなどの商用サービス用サーバー」が挙がった。

 また、SBOMの対象となるエンドポイントは「貸与タブレットまたはスマートフォンのソフトウェア」が57%(n=291)と最も多かったが、「社内システムで稼働しているソフトウェア」(54%)や「貸与クライアントPCのソフトウェア」(45%)、「BYOD(Bring Your Own Device:私物機器の利用)端末上のソフトウェア」(37%)、「顧客向けのシステムで稼働しているソフトウェア」(31%)、「クラウド上で動作しているソフトウェア」(31%)と幅広く分散していた。しかし、設問に挙げた全てを対象としている組織は全体の10%にとどまっているという。

 この結果から、齊藤氏は「全社でSBOM管理を徹底していると答えた組織においても一部のエンドポイントしか管理できない組織が8~9割となり、SBOM管理の徹底は難しいことが明らかになった」と説明した。

 SBOMの管理についても調査している。内部構造や依存関係が不明なソフトウェアがあった場合のSBOM管理として、「リバースエンジニアリングなどの解析手法を使用して調査・把握している」が65%(n=291)と最も多く、次に「開発・保守先のベンダーに問い合わせて把握している」(59%)が挙げられた。加えて、使用しているクラウドサービスや委託先などの社外のソフトウェアのSBOM管理については「サービス事業者や委託先などに問い合わせて把握している」が48%(n=291)と大半を占めていることから、SBOMの管理が属人的な状況であることが浮き彫りになった。

 サプライチェーン企業に対するSBOM構築の運用状況の把握については、25%が「調査・把握済み」、30%が「構築運用の依頼中」、28%が「何も行っていない」と回答した。半数以上がサプライチェーン企業に対するSBOM管理について何らかの対応をしていることから、同社はSBOM管理の需要があることを確認できたとしている。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
2人乗りの自律型デモ航空機「Maker」をArcher Aviationが公開、商業運航への「足がかり」に
モビリティ
2021-06-13 15:33
Zoom、約1300人の人員削減へ–従業員の15%
IT関連
2023-02-09 12:12
キッチンと洗面台が合体 1人暮らしの部屋を広くする「MIXINK」 三菱地所
くらテク
2021-06-16 03:51
500円・約15分間の収録で自分の声によるAI音声合成を可能にする「CoeFont CLOUD」が先行公開を開始
ネットサービス
2021-07-20 06:44
【インタビュー】アップル幹部が語る次期iPad OSのメンタルモデルとマルチタスクの強化
ソフトウェア
2021-06-22 16:15
誰もいない観客席から五輪選手を応援する“人影”がポツリ その正体は……
ロボット・AI
2021-08-04 00:51
総合建設の松井組、「TOKIUMインボイス」を導入–経理業務を約200時間削減
IT関連
2023-05-28 05:41
セキュリティインシデントの発生時にどこまで情報開示すべきか
IT関連
2024-05-10 05:14
動画配信サービスCBS All Accessの後継Paramount+が米国・カナダ・中南米で2021年3月4日開始
ネットサービス
2021-01-23 11:26
「iPhone」の充電は就寝時が最適か–自分にとって良いタイミングを考えてみた
IT関連
2022-03-06 22:24
企業向けにカーボンオフセットAPIを開発するスタートアップが急増中
EnviroTech
2021-02-06 15:36
利用者が増えているところに攻撃者も追随していく–Trellixが2023年の脅威予測
IT関連
2023-01-20 10:41
U25起業家と起業家予備軍対象に創業前後の支援を行うコミュニティ「TORYUMON ZERO」が第3期メンバーの募集開始
VC / エンジェル
2021-07-30 06:21
[速報]マイクロソフトが「Team Copilot」発表。生成AIが会議のファシリテーターやプロジェクト管理を実行
Microsoft
2024-05-22 04:30