経済産業省は8月29日、2023年7月に公表した「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引ver1.0」の改訂について発表した。
「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引ver1.0」は、同省がSBOMの企業による活用を推進するために、企業がSBOMを導入するメリットや実際に導入するにあたって実施すべきポイントをまとめたもので、2023年7月に公表していた。
同省ではその後、中小企業を含むあらゆる企業がSBOMをより効率的に活用できる方法等の検討を継続し、2024年4月26日から5月27日に実施した意見公募での意見を踏まえ、同手引書の改訂版を策定している。
今回、改訂した「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引ver2.0」は、ソフトウェアを供給する企業と調達する企業の双方を想定読者とし、ver1.0の内容に加え、下記の内容を追加している。
1.脆弱性管理プロセスの具体化(第7章)
ソフトウェアの脆弱性を管理する一連プロセスにおいてSBOMを効果的に活用するための具体的な手順と考え方
2.「SBOM対応モデル」の追加(8.付録)
SBOM導入の効果及びコストを勘案して実際にSBOMを導入することが妥当な範囲を検討するためのフレームワーク
3.「SBOM取引モデル」の追加(9.付録)
委託先との契約等においてSBOMに関して規定すべき事項(要求事項、責任、コスト負担、権利等)
