「SBOM」は2024年のサイバーセキュリティキーワードになるか

【ラウンドアップ】

　「SBOM」（Software Bill of Materials：ソフトウェア部品表）は、2024年のサイバーセキュリティ動向で注目すべきキーワードの1つになるだろう。米国では大統領令で企業に対応が求められ、日本でも経済産業省や厚生労働省からSBOMのガイドラインが提供されている。安全なITソフトウェア製品開発は、世界的にも“義務的な”取り組みとなっていくだろう。ここでは、2023年までのSBOM動向が分かる記事を集めた。

• 「SBOM」の認知率は41.3％、導入率は33.1％--ビジョナル調査

  ビジョナルの調査によれば、ソフトウェア部品表（SBOM）を知っているとした企業担当者の7割以上が導入済みか導入する意向であることが分かった。

  2023-12-14

• 日立ソリューションズ、SBOM管理をクラウドサービスで提供--必須化の動き受け

  日立ソリューションズは、SBOM（ソフトウェア部品表／エスボム）を一元管理し、各種リスクの検知と対応、ベストプラクティスの適用や情報分析・活用を行うプラットフォームとして「SBOM管理サービス」の販売を開始する。販売開始日は12月13日で、年間サブスクリプション価格は税込330万円から。

  2023-12-13

• Snyk創業者に聞く--DevSecOps、生成AIとソフトウェア開発、SBOM

  Snyk創業者のガイ・ポジャーニー氏に、DevSecOpsの現状や生成AIとソフトウェア開発の行方、ソフトウェア部品表（SBOM）の影響などについて聞いた。

  2023-11-09

• NTTとNEC、サプライチェーンセキュリティのコンソーシアムを設立

  NTTとNECは、「セキュリティ・トランスペアレンシー・コンソーシアム」を設立した。製品やサービスの調達などにおけるセキュリティリスクに対応していく。

  2023-10-11

• SOMPO、脆弱性管理クラウド「yamory」を導入--SBOM対応やセキュリティ強化に

  SOMPOホールディングスは、脆弱性管理クラウド「yamory」を導入した。同サービスを提供するVisionalグループが発表した。効率的なSBOM（ソフトウェア部品表）対応やグループ全体での脆弱性管理によるセキュリティ強化を図るという。

  2023-08-14

• KDDIら5社、通信分野へのSBOM導入で実証事業--5G/LTEなどセキュリティ強化

  KDDI、KDDI総合研究所、富士通、NEC、三菱総合研究所（MRI）は8月1日、サイバーセキュリティの強化を目的に、5GやLTEネットワーク機器などを対象例とした通信分野に対し、ソフトウェアを構成する部品などを記載したリスト「SBOM（Software Bill of Materials）」の導入に向けた実証事業に着手すると発表した。

  2023-08-01

• SBOMを導入・構築済みの組織はわずか14％--タニウム、SBOM実態調査

  タニウムは4月25日、「国内におけるSBOM（ソフトウェア部品表）に関する実態調査」の説明会を開催し、調査結果とセキュリティ動向について説明した。SBOMの認知度は、「主な機能を含め、よく知っている」「名前は知っている」を合わせて75％に上った。

  2023-04-26

• GitHub、ソフトウェア部品表の作成機能を無償公開--脆弱性管理を容易に

  >GitHubは、ソフトウェアを構成するコンポーネントやライブラリーなどの状況を開発者が容易に把握、管理できるソフトウェア部品表（SBOM）作成機能を公開した。

  2023-04-07

• 84％に少なくても1つの既知の脆弱性、89％が4年以上前のコード--OSSRA調査最新版

  8回目となる「オープンソース・セキュリティ＆リスク分析レポート」が発表された。OSSを「信頼すると同時に検証せよ。セキュリティはビジネスリスクに直結する。自らの責任でセキュリティを確保すべきだ」という。

  2023-03-15

• ソフトウェア部品表の整備が急務--シノプシスが脆弱性検査動向を発表

  シノプシスは、同社が実施した4300回のセキュリティテストの動向を発表し、アプリケーションの95％で脆弱性が検出されたと報告した。

  2023-01-25

• 継続する「Log4Shell」脆弱性の被害が証明したSBOMの価値

  ソフトウェアサプライチェーンのセキュリティリスクで注目される「SBOM」によるシステムと脆弱性の管理がどのように関連していくかについて考察する。

  2022-10-11

• 米国政府が「SBOM」による管理を大統領令に盛り込んだ意味

  ソフトウェアのサプライチェーンにおけるセキュリティリスクへの対応として、米国では大統領令による「SBOM」の利用が進められている。今回はその背景などについて述べる。

  2022-10-03

• 脆弱性対策の切り札になるかもしれない「SBOM」

  現在のシステムは幾多のソフトウェアが「部品」として組み込まれ、その部品の脆弱性が大きな問題になっている。今回はその対応の切り札と期待される「SBOM」（ソフトウェア部品表）について触れる。

  2022-08-08

• 「ソフトウェアサプライチェーン」の部品の中の脆弱性にまつわる深刻なリスク

  現在のシステムは幾多のソフトウェアが「部品」として組み込まれ、その部品の脆弱性が大きな問題になっている。今回は、ソフトウェアのサプライチェーンリスクを解説する。

  2022-07-27

• 重要な局面を迎えるオープンソースソフトウェアのセキュリティ

  Linux FoundationとOpenSSFが日本の関係者とオープンソースソフトウェア（OSS）のセキュリティに関する会合を開催した。OSSの重要性が増す現在、セキュリティも大きな課題となっている。

  2022-08-24

• オープンソースソフトウェアのセキュリティ強化へ、米政府機関や企業のリーダーが会合

  オープンソースソフトウェアサプライチェーンのセキュリティは、国家的なセキュリティの重要な問題になっている。

  2022-05-16

• サイバーセキュリティ強化へ--Linuxとオープンソースコミュニティは大統領令をいかに支えるか

  大規模なサプライチェーン攻撃やランサムウェア攻撃が相次ぐ中、バイデン大統領は米国のセキュリティ対策を強化する大統領令を出した。そのような中、The Linux Foundationコミュニティーは、求められる対策を実現する上でどのような取り組みを進めているのだろうか。

  2021-06-01