対応必須化の波が到来したSBOM動向

経産省のSBOM導入手引き第2版の内容と現実的な対応

鈴木康弘 (アシュアード)

2024-11-14 06:00

 2024年8月29日に、経済産業省より「ソフトウェア部品表」(Software Bill of Materials、以下SBOM)導入のポイントをまとめた「ソフトウェア管理に向けたSBOMの導入に関する手引ver 2.0」が正式に公表されました。Ver 1.0が2023年7月に公開されており、SBOMに関する基本的な情報や誤解と事実、企業のSBOM導入を支援するために、SBOM導入に向けた主な実施事項および認識しておくべきポイントが示されています。

 今回公開されたVer 2.0では、上記に加え、ソフトウェアの脆弱(ぜいじゃく)性を管理する一連プロセスにおいて、SBOMを効果的に活用するための具体的な手順と考え方、SBOM導入の効果およびコストを勘案してSBOMを導入することが妥当な範囲を検討するためのフレームワーク、ソフトウェアの受発注において、調達者と供給者の間でSBOMに関して契約に規定すべき事項(要求事項、責任、コスト負担、権利など)についての参考例などが示されています。SBOMの基本的な知識のみならず、SBOM対応の課題や具体例など、“応用編”ともいえるものになっています。

 今回は、Ver 1.0から引き続き掲載されている1~6章の概要を簡単におさらいしつつ、Ver 2.0で追加されたポイントや現実的な対応について解説します。

1~2章:背景と目的/SBOMの概要

 1章と2章では、オープンソースソフトウェア(OSS)の利用が一般化する中で、ソフトウェアにおける脆弱性管理やライセンス管理の重要性が非常に高まっていること、ソフトウェアサプライチェーンが複雑化する中でソフトウェア管理の課題としてSBOM活用に注目が集まっていることを挙げ、その概要について詳しく紹介しています。

 また、SBOM導入のメリットとして、脆弱性対応期間の短縮や管理にかかるコストの低減などの「脆弱性管理のメリット」「ライセンス管理のメリット」「開発生産性向上のメリット」を挙げており、特に脆弱性が発覚してから対応完了までの時間を大きく短縮できる点が最も大きなメリットであることが挙げられています。

 なお、SBOMの「最小要素」に関しても解説しており、データフィールドのカテゴリーでは、SBOMの対象となるコンポーネントを一意に特定するための情報を含めることが「最小要素」として位置付けられています。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]