日立ソリューションズは12月12日、SBOM(ソフトウェア部品表/エスボム)を一元管理し、各種リスクの検知と対応、ベストプラクティスの適用や情報分析・活用を行うプラットフォームとして「SBOM管理サービス」の販売を開始すると発表した。販売開始日は同13日で、年間サブスクリプション価格は税込330万円から。同社では今後SBOMに関する認知拡大などに取り組み、「2030年頃にSBOM関連事業全体で50億円レベルに成長させたい」という。
概要を説明した同社の執行役員 ITプラットフォーム事業部長の月折郷子氏は「お客さまのDX/SXを加速するITエンジニアリングを提供」するデジタルアクセラレーション事業の一環として、同社自身が「長年ソフトウェア開発においてOSS(オープンソースソフトウェア)を活用してきた経験を生かし、2010年頃からOSS管理ビジネスを推進してきた」と説明し、サイバーセキュリティ対策として各国でSBOM必須化の動きが強まる中で「今後はSBOMに対応しないと製品を販売できなくなる」懸念もあることを背景として挙げた。
日立ソリューションズ 執行役員 ITプラットフォーム事業部長の月折郷子氏
さらに同氏は、SBOM管理における同社の強みについて「主要なコミュニティーに多数参画していることによるネットワーク」「専門家としてのノウハウやスキル」「セミナーやブログ、動画の公開などによる個性的な案件創出」の3点だとした。
続いて、同社のITプラットフォーム事業部 デジタルアクセラレーション本部 プロセス改善ソリューション部 シニアOSSスペシャリストの渡邊歩氏がサービスの詳細を説明した。
まず同氏はSBOMが求められる背景として、「モノづくりのソフトウェア化が加速」「OSSなしではソフトウェアの開発ができない時代」を挙げ、さらにOSSが多段階かつ複雑な構成で利用される結果ブラックボックス化し、リスクを把握できなくなっている現状を指摘した。SBOMは「ソフトウェアを構成するコンポーネントの一覧」であり、どこにどのソフトウェアコンポーネントが使用されているかを可視化して管理できるようにすることで、脆弱(ぜいじゃく)性への対応などが可能になる。
日立ソリューションズ ITプラットフォーム事業部 デジタルアクセラレーション本部 プロセス改善ソリューション部 シニアOSSスペシャリストの渡邊歩氏
同社では「ソフトウェア部品管理ソリューション」として、「経験豊富なコンサルタントがお客さまのSBOM導入・活用をサポート」するコンサルティングメニューと、さまざまな「先進的なSBOM生成・管理ツール」を組み合わせて提供してきた豊富な実績を誇る。
今回提供開始される「SBOM管理サービス」は「サプライチェーンにおけるSBOM管理のためのプラットフォーム」と位置付けられ、サプライチェーンに参加する多数の企業がそれぞれ異なる形式のSBOMを活用している場合でも、それらを一元管理できる機能を備える。
SBOM管理サービスは「STEP1 SBOMの一元管理」「STEP2 コンプライアンス強化」「STEP3 業界規格・標準準拠」「STEP4 OSPO(Open Source Program Office)プラットフォーム」と段階的に機能を拡張する計画となっている(図1)。12月13日の販売開始時点ではSTEP1のSBOMの一元管理機能がまず提供され、「少なくとも2~3年の間には(STEP4の)OSPOの運用支援の機能までカバーしたバージョンをリリースしたいと考えている」(渡邊氏)という。
※クリックすると拡大画像が見られます
SBOM管理サービスはSaaSとして提供される共通プラットフォームで、サプライチェーンに参加するさまざまな企業/組織のSBOMを収集して一元管理できる(図2)。なお、ソフトウェアコンポーネントの管理にはCPE識別子(CPE:Common Platform Enumeration)が使われるが、一般に認識されているソフトウェアコンポーネントの名称やバージョン情報などとの対応付けが煩雑であり、さらに脆弱性管理に使われる識別子であるCVE(Common Vulnerabilities and Exposures)とひも付けする必要がある。
SBOMに含まれるコンポーネント名称に表記揺れが含まれていたりするとCPEとの突き合わせに失敗することもあるというが、SBOM管理サービスでは日立製作所のソフトウェア脆弱性検知技術を内部エンジンとして利用するとともに、CPE識別子のひも付けを自動化し、脆弱性の検知漏れを軽減できるという。
※クリックすると拡大画像が見られます