経済産業省、「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引」公開。環境構築、SBOM作成、運用管理など解説

今回は「経済産業省、「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引」公開。環境構築、SBOM作成、運用管理など解説」についてご紹介します。

関連ワード (依存、反映、運用等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、Publickey様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


経済産業省は「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引」を策定し公開したことを明らかにしました。

fig

SBOMは日本語では「ソフトウェア部品表」とされます。あるソフトウェアがどのようなソフトウェア部品によって構成されているのかを示す情報がまとまったデータのことです。

ほとんどのソフトウェアは単独で成立しているわけではなく、オープンソースを始めとする多数のライブラリやコンポーネントなどのソフトウェア部品に依存しています。そのなかのいずれかに脆弱性が発見されればドミノ倒しのように他のさまざまなソフトウェアに影響することは必至です。

例えば2021年末に発覚したJavaライブラリ「Log4j」の脆弱性は、非常に幅広いJavaのソフトウェアに深刻な影響を与えました。

多くの産業や社会インフラにおいてソフトウェアの存在が欠かせなくなっている現在、ソフトウェアのセキュリティを確保する上で、ソフトウェアがどのようなソフトウェア部品で構成されているのかを管理できるようにすることは課題となっていました。

その解決手法の1つとして注目されているのがSBOMです。

米国では大統領令でSBOMを推進

経済産業省によると、米国では大統領令に基づき連邦政府機関におけるSBOMを含めたソフトウェアサプライチェーンセキュリティ対策の強化に向けた動きが進展しています。

QUAD (日米豪印戦略対話)では、政府調達ソフトウェアのセキュリティ確保に向け、ソフトウェアの安全な開発・調達・運用に関する方針を示した共同原則が発表されており、SBOMを含めたソフトウェアコンポーネントの詳細情報やサプライチェーン情報を適切に管理することが掲げられています。

こうした背景において、経済産業省は「産業サイバーセキュリティ研究会ワーキンググループ1(制度・技術・標準化)サイバー・フィジカル・セキュリティ確保に向けたソフトウェア管理手法等検討タスクフォース」を設置し、有識者や様々な分野の業界団体関係者を交えながら、SBOMの利活用等について実証や議論を行い、主にソフトウェアサプライヤー向けとして「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引」を策定したと説明されています。

経済産業省によるこれらの資料の作成と公開は、同省が国内においてSBOMの利用を促進したいとの考えを反映したものと見られます。

今後は国内でも、政府調達や重要な社会インフラに関わるソフトウェア、大手企業によるソフトウェアの調達などからSBOMの導入が開始されていくのではないでしょうか。

SBOMのメリットや導入方法など

手引の内容として、SBOMを導入するメリットやSBOMに関する誤解と事実などSBOMに関する基本的な情報が提供されているだけでなく、SBOMを実際に導入するにあたって認識・実施すべきポイントを以下の3つのフェーズに分けて解説されています。

(1)環境構築・体制整備フェーズ
(2)SBOM作成・共有フェーズ
(3)SBOM運用・管理フェーズ

想定読者は主に、パッケージソフトウェアや組込みソフトウェアに関するソフトウェアサプライヤーです。

そして、ソフトウェアにおける脆弱性管理に課題を抱えている組織や、SBOMという用語やSBOM導入の必要性は認識しているもののその具体的なメリットや導入方法を把握できていない組織などにとって、ソフトウェアの管理の一手法としてSBOMの導入等を検討する際に役に立つ手引となっていると説明されています。

下記が公開された手引きと関連資料です。

ソフトウェア管理に向けたSBOMの導入に関する手引 Ver1.0(PDF)

fig

「ソフトウェア管理に向けたSBOMの導入に関する手引」 概要資料(PDF)

fig

「ソフトウェア管理に向けたSBOMの導入に関する手引」付録 チェックリスト(xlsx)

fig

COMMENTS


Recommended

TITLE
CATEGORY
DATE
「Vercel KV」が正式リリース、Redisベースのキーバリューストア。ホビー向けには月間3万リクエスト、256MBストレージまで無料に
JavaScript
2023-06-16 09:00
ジム・ケラー氏率いるテンストレントが日本市場に本格参入–RISC-VやAIチップ事業を展開
IT関連
2023-03-30 09:14
「State of JavaScript 2023」公開。フロントエンドライブラリ利用率1位はReact、メタフレームワークはNext.jsなど、2万3500人のエンジニアが回答
JavaScript
2024-06-24 22:53
Mendix、ローコード基盤の最新版「Mendix 10」を紹介–今後のクラウド戦略も明らかに
IT関連
2023-09-09 01:18
MongoDB 6.0がリリース。時系列データ対応、ポーリング不要でデータ変更によるトリガー処理、スケーラビリティ、暗号化など強化
MongoDB
2022-07-25 23:26
第2回:IT部門がDX新組織の主役となっている理由
IT関連
2022-06-02 01:24
丸和運輸機関、バックアップの刷新で年間運用コストを437万円削減
IT関連
2025-02-07 01:45
M1 Mac対応Photoshopが正式版に Adobe「1.5倍高速化を確認」
イラスト・デザイン
2021-03-12 10:05
「iOS 18」に期待する5つの機能–「Siri」や通知機能の改善など
IT関連
2024-05-19 21:21
パナソニックが世界で初めて純水素型燃料電池を活用したRE100化ソリューションの実証実験を開始
EnviroTech
2021-05-25 15:56
未来のオフィスはモジュール型の防音ポッドで快適に
IT関連
2021-07-12 14:27
「Cloudera Data Platform」が「Google Cloud」上で利用可能に
IT関連
2021-04-02 07:58
三恵技研工業、「Smart Craft」で製造現場DXをスモールスタート
IT関連
2024-12-15 04:26
国産のインメモリDB「劔(Tsurugi)」、さくらの高火力上で一貫性を保ちつつ永続化の書き込み処理を5ミリ秒で実証。超低遅延AIシステムの実証実験
RDB
2024-12-13 06:59