経済産業省は7月28日、「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引」を策定したと発表した。主にソフトウェアサプライヤー向けに、SBOMを導入するメリットや実際に導入するにあたって認識・実施すべきポイントをまとめた手引書となっている。
SBOMは、ソフトウェア部品表と訳され、ソフトウェアコンポーネントやそれらの依存関係の情報も含めた機械処理可能な一覧リストのことを指す。世界的に導入企業が増加しているほか、医療機器分野など、一部の分野では規制や制度化が検討され始めている。
その背景には、ソフトウェアサプライチェーンの複雑化と、オープンソースソフトウェア(OSS)利用の一般化、IoTの多機能化などがある。特に、ソフトウェア開発では汎用的な機能をGitHubなどに上げられているライブラリを使用することが多く、そこに脆弱性が発見され大きなリスクとなることがある。
例えば、Apache Log4jのように組み込まれていたことさえ知らなかったケースや、SolarWindsのようにソフトウェアのサプライチェーンに悪意のあるものが組み込まれてしまうこともある。そこで、ソフトウェアを構成するコンポーネントを明らかにして、脆弱性や信頼性、ライセンスなどを確認できるようにするのがSBOMである。
機械処理可能なSBOMを導入することで、ソフトウェア管理に要する対応コストや人的コストを低減することができ、これにより開発生産性向上につながる。事実、経済産業省が実施した医療機器分野を対象とした実証では、SBOMを活用した脆弱性管理を行うことで、手動での管理と比較して管理工数が70%程度低減したという。
同手引書では、導入に向けたプロセスを「環境構築・体制整備フェーズ」「SBOM作成・共有フェーズ」「SBOM運用・管理フェーズ」の3つに分けて説明している。最初のフェーズでは、SBOM適用範囲の明確化やSBOMツールの選定、導入、設定、そしてツールの学習を行う。
2番目のフェーズでは、コンポーネントの解析、SBOMの作成、共有を行う。3番目のフェーズでは、実際にSBOMを運用する上での脆弱性管理やライセンス管理、SBOM情報の管理などを行う。「SBOMに関する誤解と事実」も詳しく書かれている。まだSBOM一択という状況ではないが、SBOM導入・運用の参考になるだろう。
