KDDIら5社、通信分野へのSBOM導入で実証事業–5G/LTEなどセキュリティ強化

今回は「KDDIら5社、通信分野へのSBOM導入で実証事業–5G/LTEなどセキュリティ強化」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　KDDI、KDDI総合研究所、富士通、NEC、三菱総合研究所（MRI）は8月1日、サイバーセキュリティの強化を目的に、5GやLTEネットワーク機器などを対象例とした通信分野に対し、ソフトウェアを構成する部品などを記載したリスト「SBOM（Software Bill of Materials）」の導入に向けた実証事業に着手すると発表した。

　通信システムに求められる機能の高度化・多様化やオープン化に伴い、通信システム内の基幹ソフトウェアの構成はソフトウェア部品の単純な組み合わせから、オープンソースソフトウェア（OSS）などのソフトウェア部品による複雑な組み合わせへと変化してきた。OSSはソフトウェアのソースコードが公開されているため誰でも利用が可能で、豊富な機能や柔軟性を有していることから導入事例が拡大している。

　一方で、ソフトウェアサプライチェーンの変化により、OSSを含むソフトウェア部品に対して悪意のあるコードの混入や脆弱性を狙ったサイバー攻撃などが発生。通信システムにおいても同様に攻撃の被害を受けるリスクが顕在化している。攻撃への対応としてソフトウェア部品の脆弱性情報を収集・提供するデータベースが既に稼働しているが、通信システム内のソフトウェア部品の構成を把握できていない場合、脆弱性が確認された際の迅速な対応が困難である。

　そのため、ソフトウェアを構成するさまざまな部品の一覧やバージョン情報、部品同士の依存関係などをまとめたSBOMの重要性が急速に高まっている。

　同事業では、SBOMを活用したソフトウェアサプライチェーンの把握によって、脆弱性などへの迅速な対応を目指す。通信分野におけるサイバーセキュリティを強化するために、次の項目について調査・検討を行う。

　5社は同事業に取り組む体制を構築し、2023年7月31日のキックオフミーティングの開催を経て、SBOMの技術面・運用面の課題を整理する調査を本格的に開始する。なお、同事業はKDDIが2023年5月11日に総務省から「通信分野におけるSBOMの導入に向けた調査の請負」を受託したことを受け、取り組むものになる。