KDDI、KDDI総合研究所、富士通、NEC、三菱総合研究所(MRI)は8月1日、サイバーセキュリティの強化を目的に、5GやLTEネットワーク機器などを対象例とした通信分野に対し、ソフトウェアを構成する部品などを記載したリスト「SBOM(Software Bill of Materials)」の導入に向けた実証事業に着手すると発表した。
通信システムに求められる機能の高度化・多様化やオープン化に伴い、通信システム内の基幹ソフトウェアの構成はソフトウェア部品の単純な組み合わせから、オープンソースソフトウェア(OSS)などのソフトウェア部品による複雑な組み合わせへと変化してきた。OSSはソフトウェアのソースコードが公開されているため誰でも利用が可能で、豊富な機能や柔軟性を有していることから導入事例が拡大している。
一方で、ソフトウェアサプライチェーンの変化により、OSSを含むソフトウェア部品に対して悪意のあるコードの混入や脆弱性を狙ったサイバー攻撃などが発生。通信システムにおいても同様に攻撃の被害を受けるリスクが顕在化している。攻撃への対応としてソフトウェア部品の脆弱性情報を収集・提供するデータベースが既に稼働しているが、通信システム内のソフトウェア部品の構成を把握できていない場合、脆弱性が確認された際の迅速な対応が困難である。
そのため、ソフトウェアを構成するさまざまな部品の一覧やバージョン情報、部品同士の依存関係などをまとめたSBOMの重要性が急速に高まっている。
同事業では、SBOMを活用したソフトウェアサプライチェーンの把握によって、脆弱性などへの迅速な対応を目指す。通信分野におけるサイバーセキュリティを強化するために、次の項目について調査・検討を行う。
- 国内外の動向調査および通信分野へのSBOM導入に向けたガイドライン案の検討
国内外の行政機関や民間団体などによるSBOMに関係した取り組みや既存ガイドラインを調査し、通信機器および当該機器のソフトウェア部品のSBOMを作成・活用するためのガイドライン案を検討 - 通信機器に対するSBOMの作成と課題整理
同事業を通じて、通信事業者が実際に運用している設備の一部を対象としてSBOMを作成 - 通信機器に対するSBOMの精度評価
(2)で作成したSBOMと、ツールで作成したSBOMの比較評価により、精度評価や通信分野において着目すべき項目について分析することで、SBOMの導入に向けた課題を整理
取り組みの全体像
各社の役割
5社は同事業に取り組む体制を構築し、2023年7月31日のキックオフミーティングの開催を経て、SBOMの技術面・運用面の課題を整理する調査を本格的に開始する。なお、同事業はKDDIが2023年5月11日に総務省から「通信分野におけるSBOMの導入に向けた調査の請負」を受託したことを受け、取り組むものになる。
