経産省がSBOM導入から運用までの手引書公開 「SBOMの誤解と事実」ほか | ScanNetSecurity
2024.06.15(土)

経産省がSBOM導入から運用までの手引書公開 「SBOMの誤解と事実」ほか

経済産業省は、「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引」を策定したと発表した。

調査・レポート・白書・ガイドライン
「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引」
  • 「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引」
  • 手引書の概要

 経済産業省は7月28日、「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引」を策定したと発表した。主にソフトウェアサプライヤー向けに、SBOMを導入するメリットや実際に導入するにあたって認識・実施すべきポイントをまとめた手引書となっている。

 SBOMは、ソフトウェア部品表と訳され、ソフトウェアコンポーネントやそれらの依存関係の情報も含めた機械処理可能な一覧リストのことを指す。世界的に導入企業が増加しているほか、医療機器分野など、一部の分野では規制や制度化が検討され始めている。

 その背景には、ソフトウェアサプライチェーンの複雑化と、オープンソースソフトウェア(OSS)利用の一般化、IoTの多機能化などがある。特に、ソフトウェア開発では汎用的な機能をGitHubなどに上げられているライブラリを使用することが多く、そこに脆弱性が発見され大きなリスクとなることがある。

 例えば、Apache Log4jのように組み込まれていたことさえ知らなかったケースや、SolarWindsのようにソフトウェアのサプライチェーンに悪意のあるものが組み込まれてしまうこともある。そこで、ソフトウェアを構成するコンポーネントを明らかにして、脆弱性や信頼性、ライセンスなどを確認できるようにするのがSBOMである。

 機械処理可能なSBOMを導入することで、ソフトウェア管理に要する対応コストや人的コストを低減することができ、これにより開発生産性向上につながる。事実、経済産業省が実施した医療機器分野を対象とした実証では、SBOMを活用した脆弱性管理を行うことで、手動での管理と比較して管理工数が70%程度低減したという。

 同手引書では、導入に向けたプロセスを「環境構築・体制整備フェーズ」「SBOM作成・共有フェーズ」「SBOM運用・管理フェーズ」の3つに分けて説明している。最初のフェーズでは、SBOM適用範囲の明確化やSBOMツールの選定、導入、設定、そしてツールの学習を行う。

 2番目のフェーズでは、コンポーネントの解析、SBOMの作成、共有を行う。3番目のフェーズでは、実際にSBOMを運用する上での脆弱性管理やライセンス管理、SBOM情報の管理などを行う。「SBOMに関する誤解と事実」も詳しく書かれている。まだSBOM一択という状況ではないが、SBOM導入・運用の参考になるだろう。

《吉澤 亨史( Kouji Yoshizawa )》

編集部おすすめの記事

特集

調査・レポート・白書・ガイドライン アクセスランキング

  1. IPA、中小企業向けの内部不正防止対策の報告書公開

    IPA、中小企業向けの内部不正防止対策の報告書公開

  2. クラウドサービス等の課金システムを悪用、「EDoS 攻撃」とは

    クラウドサービス等の課金システムを悪用、「EDoS 攻撃」とは

  3. デジタル庁「テキスト生成 AI 利活用におけるリスクへの対策ガイドブック(α版)」公開

    デジタル庁「テキスト生成 AI 利活用におけるリスクへの対策ガイドブック(α版)」公開

  4. 総務省、ガイドライン活用のための「クラウドの設定ミス対策ガイドブック」公開

  5. 2023年届出件数 過去最高 100万件超え「フィッシングレポート 2024」公開

  6. ウクライナ大規模停電など、制御システム関連のサイバーインシデント事例3件公開(IPA)

  7. 半数の中小企業経営者、セキュリティ対策の必要性「感じたことがない」

  8. 人数前年比 7 倍、2023 年上場企業情報漏えい ~ 東京商工リサーチ調査

  9. JIPDEC「個人情報取扱い事故報告」2022年版、最多原因「手順やルールに違反した作業や操作」

  10. 復旧失敗確率 3 分の 2、ランサムウェア身代金支払い ~ JIPDEC、ITR 調査

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×