現在、世の中の様々なものがIT化されることが当たり前になった。特に、電子制御や情報連携の機能が発達した自動車や医療機器などはその代表格と言える。そして、それらを構成するソフトウェアは多種多様な制御をすることもあり、非常に大規模なものとなっている。また、そのような大規模なソフトウェアを構成する部品として、OSS(オープンソースソフトウェア)がその過半を占めるようになってきている。
OSSはソースコードが公開されていることだけでなく、既に稼働実績が一定数あることから、上記のような工業製品の「品質」と「コスト競争力」そして「開発スピード」を保ちながらリリースするために無くてはならないものになっている。しかし、多くの人が使うソフトウェアということもあり、攻撃者の標的となりやすい。その結果、OSSに脆弱性が見つかった場合、その都度迅速な対応を迫られるようになった。
しかも、工業製品はITにおけるソフトウェア開発よりも大規模で複雑な場合も多く、脆弱性の公開時にそれが対象になるかどうなどを厳格に管理することが難しい。また、これらの工業製品は、部品メーカーなどの数多くのサプライチェーンによって構成される。既にサイバー攻撃が対策の手薄なサプライチェーンを狙うようになって久しく、このようなサプライチェーン全体という広い範囲の管理を徹底するのは至難の業だと言えるだろう。
こうした経緯から、ソフトウェアの管理の切り札として「SBOM(ソフトウェア部品表)」がにわかに注目されている。このSBOMは、2021年の米国大統領令で具体的な必要性が明示されたこともあり、欧州や日本でも政府や業界団体等でガイドラインや運用ルールの制定も進んでいる。
以下の資料は、SBOMが注目される理由や基本的な市場動向、背景にあるソフトウェア開発のセキュリティリスクや各国の法制度、具体的なSBOMの定義や活用方法、各種のSBOMフォーマットなどを詳しく解説している。「SBOMとは何か?」といった疑問をお持ちの方は勿論、「SBOM導入を検討している方」「(より具体的な)事前準備を進めている方」にも参考にしていただける内容となっている。
ホワイトペーパー