株式会社NTTデータグループは5月20日、「サイバーセキュリティに関するグローバル動向四半期レポート(2025年度第2四半期)」を公開した。
NTTデータグループでは、顧客やグループ内でのセキュリティ被害抑止を目的に、ニュースリリースやWebサイト、新聞、雑誌等の公開情報を収集し、セキュリティに関するグローバル動向を調査しており、サイバーセキュリティ動向の変化を捉えるために同レポートを作成している。
同レポートでは、SBOMの国際動向と普及に向けた実務アプローチ、インターネット証券口座乗っ取り被害から考える認証方式の課題、レイバーデーDDoSから見える攻防の転換点、Chromiumの脆弱性を狙うサイバー攻撃から見た脆弱性対応と攻撃検知などを同四半期におけるグローバル動向として取り上げている。
SBOM(Software Bill of Materials)は、特定のソフトウェアを構成するオープンソースソフトウェア(OSS)、商用ライブラリ、モジュール等の全ての構成要素について、その名称、バージョン、ライセンス情報、およびそれらの依存関係を明記したリストで、SBOMを参照すれば、当該ソフトウェアを構成する「 材料」を正確に把握でき、脆弱性管理やライセンス管理の効率化や高度化につながる。
同レポートでは、SBOMが注目を集める背景として、ソフトウェアの複雑化に伴う脆弱性リスクの増大と、近年の政策動向があるとし、アメリカ国立標準技術研究所(NIST)が公開している脆弱性情報データベース「 NVD(National Vulnerability Database)」によると、近年の脆弱性報告件数はこの10年間で約7倍に拡大するなど、増加ペースが加速しており、Log4jやxz backdoorといった広く利用されているOSSに潜む深刻な脆弱性が相次いで悪用され、世界中のシステムに甚大な影響を及ぼしている。
しかし、国内企業におけるSBOMの導入と活用は、まだ本格的な普及段階には至っておらず、2025年7月に国内で実施したべリサーブ社の調査では、国内製造業の設計開発と品質管理の担当者1,000名のうち「SBOMを詳しく理解している」「導入済み」と回答したのはそれぞれ7%にとどまった。その一方で、「導入予定なし」は79%に達しており、政策目標と現場の実態との間には大きな乖離があった。SBOMの導入と活用には、技術面および組織面で克服すべき課題があり、適切に対応しなければ、SBOMの有効性が損なわれ、セキュリティリスク管理に支障をきたすおそれがある。同レポートでは、SBOMライフサイクルの視点から「生成と収集」「活用」「維持と管理」に加えて、それらを横断的に支える「推進体制」の4つのカテゴリに分類し、代表的な課題とその影響を整理している。
