経産省がSBOM導入から運用までの手引書公開 「SBOMの誤解と事実」ほか | ScanNetSecurity
2024.06.15(土)

経産省がSBOM導入から運用までの手引書公開 「SBOMの誤解と事実」ほか

経済産業省は、「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引」を策定したと発表した。

調査・レポート・白書・ガイドライン 調査・ホワイトペーパー
「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引」
「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引」 全 2 枚 拡大写真

 経済産業省は7月28日、「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引」を策定したと発表した。主にソフトウェアサプライヤー向けに、SBOMを導入するメリットや実際に導入するにあたって認識・実施すべきポイントをまとめた手引書となっている。

 SBOMは、ソフトウェア部品表と訳され、ソフトウェアコンポーネントやそれらの依存関係の情報も含めた機械処理可能な一覧リストのことを指す。世界的に導入企業が増加しているほか、医療機器分野など、一部の分野では規制や制度化が検討され始めている。

 その背景には、ソフトウェアサプライチェーンの複雑化と、オープンソースソフトウェア(OSS)利用の一般化、IoTの多機能化などがある。特に、ソフトウェア開発では汎用的な機能をGitHubなどに上げられているライブラリを使用することが多く、そこに脆弱性が発見され大きなリスクとなることがある。

 例えば、Apache Log4jのように組み込まれていたことさえ知らなかったケースや、SolarWindsのようにソフトウェアのサプライチェーンに悪意のあるものが組み込まれてしまうこともある。そこで、ソフトウェアを構成するコンポーネントを明らかにして、脆弱性や信頼性、ライセンスなどを確認できるようにするのがSBOMである。

 機械処理可能なSBOMを導入することで、ソフトウェア管理に要する対応コストや人的コストを低減することができ、これにより開発生産性向上につながる。事実、経済産業省が実施した医療機器分野を対象とした実証では、SBOMを活用した脆弱性管理を行うことで、手動での管理と比較して管理工数が70%程度低減したという。

 同手引書では、導入に向けたプロセスを「環境構築・体制整備フェーズ」「SBOM作成・共有フェーズ」「SBOM運用・管理フェーズ」の3つに分けて説明している。最初のフェーズでは、SBOM適用範囲の明確化やSBOMツールの選定、導入、設定、そしてツールの学習を行う。

 2番目のフェーズでは、コンポーネントの解析、SBOMの作成、共有を行う。3番目のフェーズでは、実際にSBOMを運用する上での脆弱性管理やライセンス管理、SBOM情報の管理などを行う。「SBOMに関する誤解と事実」も詳しく書かれている。まだSBOM一択という状況ではないが、SBOM導入・運用の参考になるだろう。

《吉澤 亨史( Kouji Yoshizawa )》

この記事の写真

/

特集

関連記事

PageTop

アクセスランキング

  1. イセトーにランサムウェア攻撃、阿波銀行・藤沢市・茅ヶ崎市にも影響

    イセトーにランサムウェア攻撃、阿波銀行・藤沢市・茅ヶ崎市にも影響

  2. 役に立たないメール訓練 もうやめません? by Googleセキュリティ担当者

    役に立たないメール訓練 もうやめません? by Googleセキュリティ担当者

  3. ニデックインスツルメンツにランサムウェア攻撃、複数のサーバ内ファイルが暗号化被害

    ニデックインスツルメンツにランサムウェア攻撃、複数のサーバ内ファイルが暗号化被害

  4. ゆめタウン運営イズミへのランサムウェア攻撃、VPN 装置から侵入

    ゆめタウン運営イズミへのランサムウェア攻撃、VPN 装置から侵入

  5. Yahoo! BBのキャンペーンを騙る詐欺メールに注意

    Yahoo! BBのキャンペーンを騙る詐欺メールに注意

ランキングをもっと見る
PageTop