経済産業省、「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引」公開。環境構築、SBOM作成、運用管理など解説

今回は「経済産業省、「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引」公開。環境構築、SBOM作成、運用管理など解説」についてご紹介します。

関連ワード (依存、反映、運用等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、Publickey様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


経済産業省は「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引」を策定し公開したことを明らかにしました。

fig

SBOMは日本語では「ソフトウェア部品表」とされます。あるソフトウェアがどのようなソフトウェア部品によって構成されているのかを示す情報がまとまったデータのことです。

ほとんどのソフトウェアは単独で成立しているわけではなく、オープンソースを始めとする多数のライブラリやコンポーネントなどのソフトウェア部品に依存しています。そのなかのいずれかに脆弱性が発見されればドミノ倒しのように他のさまざまなソフトウェアに影響することは必至です。

例えば2021年末に発覚したJavaライブラリ「Log4j」の脆弱性は、非常に幅広いJavaのソフトウェアに深刻な影響を与えました。

多くの産業や社会インフラにおいてソフトウェアの存在が欠かせなくなっている現在、ソフトウェアのセキュリティを確保する上で、ソフトウェアがどのようなソフトウェア部品で構成されているのかを管理できるようにすることは課題となっていました。

その解決手法の1つとして注目されているのがSBOMです。

米国では大統領令でSBOMを推進

経済産業省によると、米国では大統領令に基づき連邦政府機関におけるSBOMを含めたソフトウェアサプライチェーンセキュリティ対策の強化に向けた動きが進展しています。

QUAD (日米豪印戦略対話)では、政府調達ソフトウェアのセキュリティ確保に向け、ソフトウェアの安全な開発・調達・運用に関する方針を示した共同原則が発表されており、SBOMを含めたソフトウェアコンポーネントの詳細情報やサプライチェーン情報を適切に管理することが掲げられています。

こうした背景において、経済産業省は「産業サイバーセキュリティ研究会ワーキンググループ1(制度・技術・標準化)サイバー・フィジカル・セキュリティ確保に向けたソフトウェア管理手法等検討タスクフォース」を設置し、有識者や様々な分野の業界団体関係者を交えながら、SBOMの利活用等について実証や議論を行い、主にソフトウェアサプライヤー向けとして「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引」を策定したと説明されています。

経済産業省によるこれらの資料の作成と公開は、同省が国内においてSBOMの利用を促進したいとの考えを反映したものと見られます。

今後は国内でも、政府調達や重要な社会インフラに関わるソフトウェア、大手企業によるソフトウェアの調達などからSBOMの導入が開始されていくのではないでしょうか。

SBOMのメリットや導入方法など

手引の内容として、SBOMを導入するメリットやSBOMに関する誤解と事実などSBOMに関する基本的な情報が提供されているだけでなく、SBOMを実際に導入するにあたって認識・実施すべきポイントを以下の3つのフェーズに分けて解説されています。

(1)環境構築・体制整備フェーズ
(2)SBOM作成・共有フェーズ
(3)SBOM運用・管理フェーズ

想定読者は主に、パッケージソフトウェアや組込みソフトウェアに関するソフトウェアサプライヤーです。

そして、ソフトウェアにおける脆弱性管理に課題を抱えている組織や、SBOMという用語やSBOM導入の必要性は認識しているもののその具体的なメリットや導入方法を把握できていない組織などにとって、ソフトウェアの管理の一手法としてSBOMの導入等を検討する際に役に立つ手引となっていると説明されています。

下記が公開された手引きと関連資料です。

ソフトウェア管理に向けたSBOMの導入に関する手引 Ver1.0(PDF)

fig

「ソフトウェア管理に向けたSBOMの導入に関する手引」 概要資料(PDF)

fig

「ソフトウェア管理に向けたSBOMの導入に関する手引」付録 チェックリスト(xlsx)

fig

COMMENTS


Recommended

TITLE
CATEGORY
DATE
腕に貼ったセンサーにスマホをかざすだけで血糖値を確認できる「FreeStyleリブレLink」アプリ
ヘルステック
2021-02-13 02:49
SaaS活用者の約7割、「SaaSによりDXが進んだ」と回答–LegalForce調査
IT関連
2022-02-06 09:40
カーネギーメロン大学発先進「触覚センシング技術」の社会実装を推進するFingerVisionが1億円のシード調達
IT関連
2022-03-26 16:07
GMがアップグレードした自動運転支援システムSuper Cruiseを2022年に6車種に搭載へ
モビリティ
2021-07-25 22:36
ランサムウェア攻撃の半数はリモートサービスの悪用が起点
IT関連
2022-10-13 20:12
開発者向け動画プラットフォーム「Mux」が約115億円調達しユニコーンに
ソフトウェア
2021-05-03 14:40
チャットボットアプリの開発をもっと簡単にするツールのBotpressがシリーズAで16.2億円調達
ネットサービス
2021-04-30 12:02
歩いて日本地図の完成目指す歩数計「令和の伊能忠敬」発売 実距離なら約1万9000km
くらテク
2021-07-07 01:57
三人三様、中国のテック巨人CEOが国会の年次総会で提案すること
その他
2021-03-07 05:19
「Ubuntu 24.10」ベータ版をレビュー–20周年の節目となるリリースもいつも通りの安定感
IT関連
2024-10-04 19:06
Google Meetに複数ピン留めや明るさ自動調整、背景置き換えなどの新機能追加
ネットサービス
2021-04-23 02:46
NTT東西、4月3日のアクセス障害は45万弱の回線に影響–原因は海外メーカー製装置の故障
IT関連
2023-04-05 14:32
2年ぶり開催のInterop Tokyo 2021–ShowNetに見るハイブリッドの挑戦
IT関連
2021-04-16 02:21
PS5、歴代最速1000万台突破も販売ペースは大幅ダウン 「在庫水準の改善が最優先」
くらテク
2021-07-30 08:32