ベリサーブ、SBOM構築・運用サービス「SBOM.JP」を発表–製造業向けに

今回は「ベリサーブ、SBOM構築・運用サービス「SBOM.JP」を発表–製造業向けに」についてご紹介します。

関連ワード (製造 x IT等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 ベリサーブは9月6日、ソフトウェア部品表(SBOM)の構築や運用を行うSaaS「SBOM.JP」を10月から製造業向けに提供すると発表した。サプライチェーンのセキュリティ強化を支援する。

 SBOMは、ソフトウェア製品で使用しているコードやライブラリー、コンポーネントなどの種類やバージョン、提供元、依存関係といった構成の状態を記録したもの。近年は、ソフトウェアを構成するこれらの要素に含まれる脆弱(ぜいじゃく)性などを悪用するサイバー攻撃が増加し、ソフトウェア製品を利用しているさまざまな企業や組織にとってリスクとなっている。

 現在のソフトウェア製品の構成は非常に複雑で、開発元では有償、無償、オープンソースといった多様なコードやライブラリー、コンポーネントなどを組み合わせて製品として開発しているが、セキュリティリスクの高まりを背景に、その構成状態をSBOMで管理することが要請されている。SBOMを活用すれば、突発的な脆弱性問題などが発覚しても、開発元がSBOMを確認して自社製品に影響が及ぶのかどうかや、影響が及ぶ場合の対応計画などを迅速的、適切に実施できることが期待される。

 ベリサーブは、20年以上にわたってソフトウェア製品のテストや品質保証のサービスを手掛ける。SBOM.JPの発表に合わせて開催したセミナーで、執行役員 サイバーセキュリティ事業部長の桑野修氏は、「特に自動車や医療機器などの製造業では、国内外でサイバーセキュリティやレジリエンスの強化がテーマとなっている。当社は、製品のセキュリティ課題に対応するP-SIRT(製品セキュリティ対応チーム)活動にも長年取り組んでおり、これまでの経験を生かして新たなセキュリティサービスを展開する」と述べた。

 セミナーでは、大阪大学の最高情報セキュリティ責任者(CISO)など務める大学院情報科学研究科の猪俣敦夫教授がゲストとして登壇し、SBOMが必要とされる背景などを講演。また、ベリサーブ サイバーセキュリティ事業部 脆弱性マネジメント課の藤原洋平氏がSBOMの国内外の動向を紹介した。

 猪俣教授は、SBOMの意義について、食料品の原材料表示を例に説明している。原材料表示には、その食料品の製造に使用された原材料の種類や名称などのほか、使用状況や健康への影響なども記載され、消費者は購入前に確認することできる。

 SBOMも同様で、ソフトウェア製品の開発元が自社製品の状態を把握、管理することに加え、ソフトウェア製品を利用する側もSBOMの情報が共有されていれば、脆弱性問題などが発生した場合に、自組織への影響や開発元の対応状況などを迅速に確認できるようになるとした。

 藤原氏によれば、海外では、米国の大統領令や欧州連合(EU)の「サイバーセキュリティ法」などでソフトウェア開発元にSBOMの対応が義務化される流れにあり、各種の標準や規則の整備が進む。国内では、経済産業省が2023年7月にSBOM導入のガイドラインを公開し、2024年8月にはその改訂版でSBOMを活用する内容が追加された。また、厚生労働省でも医療機器におけるSBOM対応のガイドラインの整備を推進しており、それらを踏まえて自動車や医療、通信といった分野でSBOMの普及に向けた活動が展開されている状況だ。

 猪俣教授は、「ソフトウェア製品の構成情報は開発元の機密事項で、これまで共有されることはなかった。SBOMの重要性が高まり活用に向けた環境整備が進むのは大きな前進。SBOMは技術情報という以上に、デューデリジェンスや品質保証として信頼につながる存在になる」と指摘した。

 新サービスのSBOM.JPについて、ベリサーブ サイバーセキュリティ事業部 技術開発課の平山雅弘氏は、特にソフトウェア製品のサプライチェーンにおける脆弱性管理に焦点を当てていると説明した。

 上述のようにソフトウェア製品の内部は、さまざまなコードやライブラリー、コンポーネントなどが複雑に構成され、開発元ではそれらの多くを外部からも調達している。外部調達したそれらの構成品に脆弱性が見つかれば、調達元の対応状況を確認しなければならず、調達元が修正などのサポートを行わない事態もある。さらに自社が開発したソフトウェアを別のソフトウェアベンダーに供給していれば、脆弱性などの問題の影響はさらに広がりかねない。

 手作業で後から複雑な構成のソフトウェア内部状態を正確かつ迅速に把握することは非常に困難なため、開発段階からSBOMを活用していくことが望ましいとされる。脆弱性などの問題は、製品リリース後にも起こり得るため、ソフトウェア製品のライフサイクル全体でSBOMを利用できる体制が必要になる。

 平山氏は、「ソフトウェアの構成要素が複雑であるだけでなく、同じ構成要素であっても多数のバージョンが存在するなど、その管理がとても難しい」とし、SBOMでは、ソフトウェアに使用した構成要素の種類だけでなく、いつの時点のバージョンを使用したのかなど時間軸の記録も含めて開発の過程をトレースできるようにしておくことが肝心だという。

 このためSBOM.JPでは、APIも活用して、ソフトウェア開発元のSBOMや外部開発のSBOM、脆弱性情報データベースと連携し、ソフトウェア内部の構成要素のバージョンアップいった情報を更新しながら管理していける。脆弱性問題などが発生した場合は、SBOMの情報をトレースして、構成要素を横断した影響範囲の把握や過去の履歴などを迅速に確認できるという。また、生成AI機能を搭載し、日々更新される最新の脆弱性情報を基に自社SBOMとの照合作業を効率化したり、特殊な用語などを管理者が分かりやすい形に表現したりするなど、ユーザーを支援する。

 SBOMの作成については、標準フォーマットとして「SPDX」や「CycloneDX」などがあり、GitHubがリポジトリーからワンクリック操作でSBOMを生成できる「Export SBOM」機能を提供するなど容易に対応できる環境が整ってきている。

 平山氏は、「現在のソリューションでは、SBOMの構築を主眼にしたものや脆弱性管理にSBOM作成機能を付加したものが多く、SBOM.JPはSBOMの運用をメインにしている。当社の経験を生かして顧客が運用で使いやすい機能を実現している」と説明した。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
PR TIMESが会員企業の発表前情報に対する不正アクセス公表
セキュリティ
2021-07-10 05:55
日本が北米に次いでサイバー攻撃の対象に–BlackBerryが22年第4四半期の脅威レポート
IT関連
2023-02-23 19:08
Uberがコロナ収束後のドライバー不足対策で総額約274億円の報奨金を用意
シェアリングエコノミー
2021-04-09 11:31
メモリー安全性に優れた言語の採用機運が高まる–開発者はどう向き合うべきか
IT関連
2023-02-07 10:37
次亜塩素酸水の自動販売機が登場 新型コロナ対策に
くらテク
2021-08-03 08:54
キンドリル日本法人幹部が説く「ITインフラがこれから重視される理由」
IT関連
2023-01-21 07:39
NTTソルマーレ、電子書籍配信サービスのDWHに「MySQL HeatWave」を導入
IT関連
2023-11-02 18:13
企業の成功には「人間優先のアプローチ」が必要不可欠–専門家に聞く
IT関連
2024-01-10 09:29
シスコ「Webex」、ウェルビーイング重視へ「People Insights」強化
IT関連
2021-04-02 18:35
日本メクトロン、クラウドを使って販売管理データ統合基盤を自社構築
IT関連
2023-03-01 05:37
レシート撮るだけで支出管理「LINEレシート」登場 家計簿より手軽
ライフ
2021-01-28 10:43
清水建設、クラウドで建設現場のデジタル化と標準化を推進
IT関連
2022-09-29 15:02
フソウ、経営改革を支えるシステム基盤に「RISE with SAP」を導入
IT関連
2023-08-24 17:04
ウクライナのゼレンスキー大統領主演ドラマ「国民の僕(しもべ)」、米ネットフリックスが再放送
IT関連
2022-03-19 23:28