経済産業省、「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引」公開。環境構築、SBOM作成、運用管理など解説

今回は「経済産業省、「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引」公開。環境構築、SBOM作成、運用管理など解説」についてご紹介します。

関連ワード (依存、反映、運用等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、Publickey様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


経済産業省は「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引」を策定し公開したことを明らかにしました。

fig

SBOMは日本語では「ソフトウェア部品表」とされます。あるソフトウェアがどのようなソフトウェア部品によって構成されているのかを示す情報がまとまったデータのことです。

ほとんどのソフトウェアは単独で成立しているわけではなく、オープンソースを始めとする多数のライブラリやコンポーネントなどのソフトウェア部品に依存しています。そのなかのいずれかに脆弱性が発見されればドミノ倒しのように他のさまざまなソフトウェアに影響することは必至です。

例えば2021年末に発覚したJavaライブラリ「Log4j」の脆弱性は、非常に幅広いJavaのソフトウェアに深刻な影響を与えました。

多くの産業や社会インフラにおいてソフトウェアの存在が欠かせなくなっている現在、ソフトウェアのセキュリティを確保する上で、ソフトウェアがどのようなソフトウェア部品で構成されているのかを管理できるようにすることは課題となっていました。

その解決手法の1つとして注目されているのがSBOMです。

米国では大統領令でSBOMを推進

経済産業省によると、米国では大統領令に基づき連邦政府機関におけるSBOMを含めたソフトウェアサプライチェーンセキュリティ対策の強化に向けた動きが進展しています。

QUAD (日米豪印戦略対話)では、政府調達ソフトウェアのセキュリティ確保に向け、ソフトウェアの安全な開発・調達・運用に関する方針を示した共同原則が発表されており、SBOMを含めたソフトウェアコンポーネントの詳細情報やサプライチェーン情報を適切に管理することが掲げられています。

こうした背景において、経済産業省は「産業サイバーセキュリティ研究会ワーキンググループ1(制度・技術・標準化)サイバー・フィジカル・セキュリティ確保に向けたソフトウェア管理手法等検討タスクフォース」を設置し、有識者や様々な分野の業界団体関係者を交えながら、SBOMの利活用等について実証や議論を行い、主にソフトウェアサプライヤー向けとして「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引」を策定したと説明されています。

経済産業省によるこれらの資料の作成と公開は、同省が国内においてSBOMの利用を促進したいとの考えを反映したものと見られます。

今後は国内でも、政府調達や重要な社会インフラに関わるソフトウェア、大手企業によるソフトウェアの調達などからSBOMの導入が開始されていくのではないでしょうか。

SBOMのメリットや導入方法など

手引の内容として、SBOMを導入するメリットやSBOMに関する誤解と事実などSBOMに関する基本的な情報が提供されているだけでなく、SBOMを実際に導入するにあたって認識・実施すべきポイントを以下の3つのフェーズに分けて解説されています。

(1)環境構築・体制整備フェーズ
(2)SBOM作成・共有フェーズ
(3)SBOM運用・管理フェーズ

想定読者は主に、パッケージソフトウェアや組込みソフトウェアに関するソフトウェアサプライヤーです。

そして、ソフトウェアにおける脆弱性管理に課題を抱えている組織や、SBOMという用語やSBOM導入の必要性は認識しているもののその具体的なメリットや導入方法を把握できていない組織などにとって、ソフトウェアの管理の一手法としてSBOMの導入等を検討する際に役に立つ手引となっていると説明されています。

下記が公開された手引きと関連資料です。

ソフトウェア管理に向けたSBOMの導入に関する手引 Ver1.0(PDF)

fig

「ソフトウェア管理に向けたSBOMの導入に関する手引」 概要資料(PDF)

fig

「ソフトウェア管理に向けたSBOMの導入に関する手引」付録 チェックリスト(xlsx)

fig

COMMENTS


Recommended

TITLE
CATEGORY
DATE
トヨタ販売店9社、顧客情報を無断登録 3318人分のID発行
社会とIT
2021-08-20 00:49
情シス部門の約4割が「経営者が自社ITを理解してくれていない」–メタップス調査
IT関連
2022-02-11 12:19
「統合化」とセキュリティアーキテクチャの採用を提唱–チェック・ポイント
IT関連
2023-01-13 19:48
NEC、部品配送に量子コンピューターを本格導入–計画立案時間を10分の1に
IT関連
2022-09-13 00:28
「GVA manage」、依頼フォームにおける表示・非表示機能を追加
IT関連
2023-10-24 11:37
【3月9日】掲載記事アクセスランキング・トップ5―1位はアップル新製品予想、2位はアノニマスのロシア国営TVサイバー攻撃
IT関連
2022-03-10 08:43
「Slack」、ハドルミーティングで1人の時に流れる音楽を選択可能に
IT関連
2023-10-25 11:50
Lucid MotorsのSPAC合併は経営陣が議決権行使を促した後に株主が承認
モビリティ
2021-07-26 10:49
宇宙で6年保存した“フリーズドライ精子”からマウス誕生 「人類の宇宙生殖」に可能性
科学・テクノロジー
2021-06-15 21:24
ウィズセキュア、サイバー攻撃での「ChatGPT」悪用について警鐘
IT関連
2023-01-22 10:41
オンライン企画で気軽に世界旅行 SDGsツアーも フジテレビ
IT関連
2021-08-13 15:04
全体的なデータ連携に大きな壁–マーケティングデータマネジメントの取り組み実態
IT関連
2021-02-03 11:19
VTuberも熱視線 等身大アバターの興奮度
IT関連
2021-07-28 22:37
オリックス、NSSOLの財務管理システム「ConSeek TM」で手作業のミス低減へ
IT関連
2024-11-10 04:07