サイバーセキュリティ対策の強化が求められる昨今、特にソフトウェアレベルでの資産管理や脆弱(ぜいじゃく)性管理といったSoftware Bill of Materials(SBOM:ソフトウェア部品表)対応が求められるレギュレーションが増えています。しかし、一言でSBOM対応といっても、製品に組み込まれているソフトウェアと、自社などのITシステム内で利用されているソフトウェアでは、求められる要件が異なります。また、各種オープンソースソフトウェア(OSS)やパッケージ管理システムなどの普及により、SBOMの抽出(スキャン)がしやすいかどうかでも管理手法が変わってきます。
本記事では、SBOM対応において、自社のITシステムや製品に組み込まれているソフトウェアはどのような要件が求められており、どのように管理をすべきか、ITシステムと組み込みソフトウェアのSBOM対応の相違点を中心に解説します。
まず、ITシステムと製品に組み込まれているソフトウェアのサイバーセキュリティにまつわるレギュレーションで、SBOMやソフトウェアの脆弱性管理に関連する部分を確認します。
ITシステムに関連するレギュレーションで求められていること
ITシステムに関しては、現在稼働しているITシステム上のソフトウェアのリスクを確認する必要があります。現在稼働しているアプリケーションやサーバーなどの実環境をスキャンしてソフトウェアの利用状況を可視化するツールで運用できれば、SBOMをファイルとして管理することや、SBOMファイルのやりとりが不要となります。
組み込みソフトウェアが含まれる製品に関するレギュレーション求められていること
組み込みソフトウェアが含まれる製品に関しては、ITシステムと異なり、End Of Life(EOL)を迎えていないサポート対象の製品バージョンが複数存在します。そのため、サポート対象の製品バージョン別に組み込みソフトウェアのSBOM情報を管理し、脆弱性管理する必要があります。
そもそもEOLなどサポート期間を明確に定義していない製品が多いため、製品バージョンごとにEOLを明確に定義し、顧客に通知するなどの要件もレギュレーションに含まれています。また、ソフトウェアサプライチェーンが複雑であることが多く、サプライチェーンの企業の間で、SBOMファイルなどによるSBOM情報の共有が必須です。
