経済産業省と内閣官房国家サイバー統括室は9月3日、サイバーセキュリティのためのソフトウェア部品表(SBOM)の共有ビジョンに関する国際ガイダンス「A Shared Vision of Software Bill of Materials(SBOM)for Cybersecurity」に共同署名したと発表した。
同ガイダンスは、2024年より経済産業省及び米国サイバーセキュリティ・インフラ安全庁(CISA)の主導で、SBOMの活用の重要性を広く国際的に発信するともに、SBOM運用上の国際共同ガイダンスを整備することを目的として作成したもので、SBOM活用の重要性について各国の共通認識を整理している。
共同署名に参加するのは、日本とアメリカ合衆国のほか、ドイツ連邦共和国、フランス共和国、イタリア共和国、オランダ王国、カナダ、オーストラリア連邦、ニュージーランド、インド共和国、シンガポール共和国、大韓民国、ポーランド共和国、チェコ共和国、スロバキア共和国の計15ヶ国のサイバーセキュリティ当局等で、日本からは内閣官房国家サイバー統括室及び経済産業省が共同署名に参加している。
同ガイダンスは、SBOMデータの透明性を高めることでソフトウェアのエコシステムから恩恵を受けるソフトウェアの開発者、調達者、運用者、サイバーセキュリティ部門の政府機関を想定読者とし、下記の内容を盛り込んでいる。
1.SBOMとは何か
SBOMとは、ソフトウェアの構築に使用される、構成要素の詳細及びサプライチェーン関係についての正式な記録である。
2.SBOM導入のメリット
・ソフトウェアにおける脆弱性管理の効率化
・サプライチェーンリスク管理(安全なソフトウェアの選択/ユーザー・サプライヤーの円滑なコミュニケーション)
・ソフトウェア開発プロセスの改善
・ソフトウェアライセンス管理の効率化
3.SBOMにおけるステークホルダーとその影響
・ソフトウェア開発者:ニーズに最適な構成要素の選択/脆弱性情報への適切な対応が可能になる。
・調達者:ソフトウェア情報の透明化により、リスク情報に基づいた調達の決定が可能になる。
・運用者:新しい脆弱性情報について、どのソフトウェアに対処するべきか、より容易な判断が可能になる。
・政府機関:調達プロセスでの活用等を通じた国全体でのセキュリティリスク体制の改善が可能になる。
4.セキュア・バイ・デザインにおけるSBOMの重要性
SBOMの活用は、ソフトウェアの製造者・開発者がサプライチェーンの透明性を確保するとともに、説明責任を受け入れるというセキュア・バイ・デザイン原則に合致するものである。
