経済産業省、「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引」公開。環境構築、SBOM作成、運用管理など解説

今回は「経済産業省、「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引」公開。環境構築、SBOM作成、運用管理など解説」についてご紹介します。

関連ワード (依存、反映、運用等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、Publickey様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


経済産業省は「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引」を策定し公開したことを明らかにしました。

fig

SBOMは日本語では「ソフトウェア部品表」とされます。あるソフトウェアがどのようなソフトウェア部品によって構成されているのかを示す情報がまとまったデータのことです。

ほとんどのソフトウェアは単独で成立しているわけではなく、オープンソースを始めとする多数のライブラリやコンポーネントなどのソフトウェア部品に依存しています。そのなかのいずれかに脆弱性が発見されればドミノ倒しのように他のさまざまなソフトウェアに影響することは必至です。

例えば2021年末に発覚したJavaライブラリ「Log4j」の脆弱性は、非常に幅広いJavaのソフトウェアに深刻な影響を与えました。

多くの産業や社会インフラにおいてソフトウェアの存在が欠かせなくなっている現在、ソフトウェアのセキュリティを確保する上で、ソフトウェアがどのようなソフトウェア部品で構成されているのかを管理できるようにすることは課題となっていました。

その解決手法の1つとして注目されているのがSBOMです。

米国では大統領令でSBOMを推進

経済産業省によると、米国では大統領令に基づき連邦政府機関におけるSBOMを含めたソフトウェアサプライチェーンセキュリティ対策の強化に向けた動きが進展しています。

QUAD (日米豪印戦略対話)では、政府調達ソフトウェアのセキュリティ確保に向け、ソフトウェアの安全な開発・調達・運用に関する方針を示した共同原則が発表されており、SBOMを含めたソフトウェアコンポーネントの詳細情報やサプライチェーン情報を適切に管理することが掲げられています。

こうした背景において、経済産業省は「産業サイバーセキュリティ研究会ワーキンググループ1(制度・技術・標準化)サイバー・フィジカル・セキュリティ確保に向けたソフトウェア管理手法等検討タスクフォース」を設置し、有識者や様々な分野の業界団体関係者を交えながら、SBOMの利活用等について実証や議論を行い、主にソフトウェアサプライヤー向けとして「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引」を策定したと説明されています。

経済産業省によるこれらの資料の作成と公開は、同省が国内においてSBOMの利用を促進したいとの考えを反映したものと見られます。

今後は国内でも、政府調達や重要な社会インフラに関わるソフトウェア、大手企業によるソフトウェアの調達などからSBOMの導入が開始されていくのではないでしょうか。

SBOMのメリットや導入方法など

手引の内容として、SBOMを導入するメリットやSBOMに関する誤解と事実などSBOMに関する基本的な情報が提供されているだけでなく、SBOMを実際に導入するにあたって認識・実施すべきポイントを以下の3つのフェーズに分けて解説されています。

(1)環境構築・体制整備フェーズ
(2)SBOM作成・共有フェーズ
(3)SBOM運用・管理フェーズ

想定読者は主に、パッケージソフトウェアや組込みソフトウェアに関するソフトウェアサプライヤーです。

そして、ソフトウェアにおける脆弱性管理に課題を抱えている組織や、SBOMという用語やSBOM導入の必要性は認識しているもののその具体的なメリットや導入方法を把握できていない組織などにとって、ソフトウェアの管理の一手法としてSBOMの導入等を検討する際に役に立つ手引となっていると説明されています。

下記が公開された手引きと関連資料です。

ソフトウェア管理に向けたSBOMの導入に関する手引 Ver1.0(PDF)

fig

「ソフトウェア管理に向けたSBOMの導入に関する手引」 概要資料(PDF)

fig

「ソフトウェア管理に向けたSBOMの導入に関する手引」付録 チェックリスト(xlsx)

fig

COMMENTS


Recommended

TITLE
CATEGORY
DATE
小田急電鉄、データ分析基盤の構築パートナーにジールを選定
IT関連
2022-12-21 06:59
調査に見る、日本と世界のオフィス出社率–遅れる働き方の権利
IT関連
2023-02-11 23:28
日本テラデータ新社長が力説した「競合他社との一番の違い」とは
IT関連
2024-12-21 05:54
グーグルがトラッキングクッキー廃止を2023年後半まで延期
ネットサービス
2021-06-26 06:24
インテル前CEOのボブ・スワン氏、Andreessen Horowitzに参加へ
IT関連
2021-07-21 02:47
アビームコンサルティング、従業員エクスペリエンス管理ソリューションを導入
IT関連
2023-02-04 04:57
化粧品ECプラットフォームNOINを運営するノインが累計約10億円のシリーズC調達、化粧品業界DXに向けた事業を拡大
IT関連
2022-01-29 19:28
「長いタイトル」「リターンは10個以上」──成功しやすいクラファンの傾向、CAMPFIREがデータ公開
企業・業界動向
2021-06-25 16:50
SAPジャパン、「GROW with SAP」パートナーパッケージプログラムを始動–短期導入とコスト削減
IT関連
2024-10-03 10:20
AI言語モデルは今–精度の進化、倫理、管理のあり方
IT関連
2022-05-13 20:06
小学校教員がSMSフィッシング被害に 学級名簿などを保存したクラウドストレージの個人アカウントが奪われる
セキュリティ
2021-05-25 04:08
Shopifyのお店とお客がSMSで対話できるサービスPostscriptが37.5億円調達
ソフトウェア
2021-03-05 13:26
VPNを「リフト&シフト」する–シスコシステムズ
IT関連
2023-07-26 00:59
Pythonソフトウェア財団、「PyPI」の組織アカウント機能構築で開発者募集
IT関連
2022-02-25 09:46