調査

SBOMを導入・構築済みの組織はわずか14%--タニウム、SBOM実態調査

寺島菜央 (編集部)

2023-04-26 07:00

齊藤純哉氏(提供:タニウム)
齊藤純哉氏(提供:タニウム)

 タニウムは4月25日、「国内におけるSBOM(ソフトウェア部品表)に関する実態調査」の説明会を開催。アジア太平洋日本地域 Chief of Staff 兼 日本法人パートナービジネス・マーケティング最高責任者の齊藤純哉氏が調査結果とセキュリティ動向について説明した。

 同調査は、大企業・官公庁・自治体のIT管理者、経営企画部門などDX時代の意思決定者を対象に実施。調査期間は2月20~28日で、有効回答数は651だった。

 企業経営に直結するソフトウェアサプライチェーンに対する脅威が増大しており、各国がソフトウェア管理手法のSBOMに注目している。米国においては2021年に大統領令にてソフトウェアサプライチェーンセキュリティの強化が発表され、日本においても2023年に経済産業省から「SBOM導入に関する手引(案)」が公開された。同調査では、より具体的なガイドラインが見えてきた中で各組織の担当者がどのような対応をしているのかを調べたという。

 SBOMの認知度は、「主な機能を含め、よく知っている」「名前は知っている」を合わせて75%に上った。また、米国の大統領令で政府系システムに対してSBOMの構築が義務付けられたことを「知っている」と回答したのは71%(n=486)。経産省が「サイバーフィジカルセキュリティ確保に向けたソフトウェア管理手法等検討タスクフォースの検討方向性」を公開していることを「知っている」と回答したのは66%(n=486)だった(表1)。

表1(提供:タニウム)
表1(提供:タニウム)

 他方、「SBOMを導入・構築済み」の組織は全体でわずか14%だったが、「SBOM導入・構築作業中」は23%、「SBOM導入・構築を検討中」も同じく23%と導入に前向きな組織が大半を占めた。また、業種別で見ると「導入・構築済み」が最も多かったのは製造業で18%(n=163)だった(表2)。

表2(提供:タニウム)
表2(提供:タニウム)

 SBOMの対象領域を「全社」と回答したのは56%(n=291)、「社内の特定の部署またはシステム」は43%(n=291)だった。対象を特定のシステムに絞っている組織では「DMZなどに配置する外部との連携用サーバー」がSBOM対象優先度の高いシステムとして挙げられ、次に「社内利用を前提とした業務系サーバー」や「ECサイトなどの商用サービス用サーバー」が挙がった。

 また、SBOMの対象となるエンドポイントは「貸与タブレットまたはスマートフォンのソフトウェア」が57%(n=291)と最も多かったが、「社内システムで稼働しているソフトウェア」(54%)や「貸与クライアントPCのソフトウェア」(45%)、「BYOD(Bring Your Own Device:私物機器の利用)端末上のソフトウェア」(37%)、「顧客向けのシステムで稼働しているソフトウェア」(31%)、「クラウド上で動作しているソフトウェア」(31%)と幅広く分散していた。しかし、設問に挙げた全てを対象としている組織は全体の10%にとどまっているという。

 この結果から、齊藤氏は「全社でSBOM管理を徹底していると答えた組織においても一部のエンドポイントしか管理できない組織が8~9割となり、SBOM管理の徹底は難しいことが明らかになった」と説明した。

 SBOMの管理についても調査している。内部構造や依存関係が不明なソフトウェアがあった場合のSBOM管理として、「リバースエンジニアリングなどの解析手法を使用して調査・把握している」が65%(n=291)と最も多く、次に「開発・保守先のベンダーに問い合わせて把握している」(59%)が挙げられた。加えて、使用しているクラウドサービスや委託先などの社外のソフトウェアのSBOM管理については「サービス事業者や委託先などに問い合わせて把握している」が48%(n=291)と大半を占めていることから、SBOMの管理が属人的な状況であることが浮き彫りになった。

 サプライチェーン企業に対するSBOM構築の運用状況の把握については、25%が「調査・把握済み」、30%が「構築運用の依頼中」、28%が「何も行っていない」と回答した。半数以上がサプライチェーン企業に対するSBOM管理について何らかの対応をしていることから、同社はSBOM管理の需要があることを確認できたとしている。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    警察把握分だけで年間4000件発生、IPA10大脅威の常連「標的型攻撃」を正しく知る用語集

  2. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  3. セキュリティ

    「2024年版脅威ハンティングレポート」より—アジアでサイバー攻撃の標的になりやすい業界とは?

  4. ビジネスアプリケーション

    Microsoft 365で全てを完結しない選択、サイボウズが提示するGaroonとの連携による効果

  5. セキュリティ

    生成AIを利用した標的型攻撃とはどのようなものなのか?実態を明らかにして効果的な対策を考える

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]