NRIセキュア、ソフトウェアサプライチェーンのセキュリティ対策として注目される、「SBOM」の導入支援サービスを提供開始

NRIセキュアテクノロジーズ株式会社

2024-01-30 11:00

NRIセキュアテクノロジーズ株式会社(以下、NRIセキュア)は、「サプライチェーントラストサービス」[i]のラインナップの一つとして、「SBOM導入支援サービス(以下、本サービス)」の提供を、本日開始します。本サービスは、ソフトウェアを含む製品・サービスを開発・運用する企業・組織に対して、脆弱性管理を目的としたSBOM(Software Bill Of Materials、ソフトウェア部品表)の導入を幅広く支援するものです。
■SBOM(ソフトウェア部品表)の導入が求められる背景
SBOMとは、製品・サービスのソフトウェアを構成するライブラリなどのコンポーネント(ソフトウェア部品)およびそれらの依存関係などの情報を含む一覧表です。SBOMを活用することでソフトウェアが使用するオープンソースソフトウェア(OSS)[ii]の脆弱性などのリスクについて検証が可能になるため、ソフトウェアサプライチェーン全体のセキュリティ向上が期待できます。

ソフトウェアの脆弱性を悪用したサイバー攻撃の増加・深刻化をうけて発令された米国大統領令(EO14028)[iii]をきっかけに、SBOMに注目が集まっています。さらに、「EUサイバーレジリエンス法(CRA)」[iv]、「医療機器サイバーセキュリティの原則及び実践(IMDRFガイダンス)」[v]をはじめとする法規・ガイドラインによりSBOMの導入が義務化される見通しです。また、経済安全保障の分野でもSBOMの重要性が高まっています。

■本サービスの概要
本サービスは、SBOMを活用した脆弱性管理を実現するために、製品・サービスの開発・運用プロセスへのSBOMの導入計画作成から導入、PoC(Proof of Concept、概念実証)、課題解決のためのアドバイザリまで、幅広く支援します。

提供する支援内容の例は、以下の通りです。これらの他にも、要望に応じてPSIRT[vi]やCSIRT[vii]の構築・強化や、SBOM関連の法規・ガイドラインの対応についても支援することが可能です。

1.SBOM生成プロセスの構築支援
製品やそれを構成するコンポーネントをもとにSBOM生成の対象を整理しつつ、適切なSBOM生成ツールを選定・提案し、その導入やPoCを支援します。製品の開発プロセスにおいてSBOMを生成できるようにするだけでなく、生成したSBOMの管理や関係先への提供などについても支援します。

2.SCA(ソフトウェア構成分析)の導入支援
製品・サービスの開発プロセスにおいては、リリースするソフトウェアに既知脆弱性が含まれないようにするための対策「SCA(ソフトウェア構成分析)」[viii]を行うことが推奨されます。ソフトウェアとそれらを構成するコンポーネントを対象にSBOMを活用した既知脆弱性の検出を可能にするSCAツールの導入を支援します。

3.脆弱性監視・対応プロセスの構築・強化支援
製品・サービスの運用プロセスにおいては、ソフトウェアのリリース後に発生する新たな脆弱性を監視し、脆弱性が発生した際にはその影響範囲を特定して適切に対応することが求められます。SBOMを活用したコンポーネント単位での脆弱性監視、脆弱性の影響範囲の特定を可能にする脆弱性監視ツールの導入や、脆弱性監視・対応プロセスの構築・強化を支援します。

本サービスの詳細については、次のWebサイトをご参照ください。
(リンク »)


NRIセキュアは今後も、企業・組織の情報セキュリティ対策を支援するさまざまな製品・サービスを提供し、安全・安心な情報システム環境と社会の実現に貢献していきます。


■ご参考
NRIセキュアでは、サイバーレジリエンス(サイバー攻撃への耐性)・ソフトウェアサプライチェーンの領域におけるリスク対策を総合的に支援する「サプライチェーントラストサービス」を提供しています。サプライチェーントラストサービスの支援メニューについては、以下の一覧表をご参照ください。

表:「サプライチェーントラストサービス」における支援メニュー


ニュースに関するお問い合わせ
NRIセキュアテクノロジーズ株式会社 広報担当
E-mail:info@nri-secure.co.jp

用語解説

[i] NRIセキュアが提供する「サプライチェーントラストサービス」の詳細は、次のWebサイトをご参照ください。 (リンク »)

[ii] オープンソースソフトウェア(OSS):ソースコードが公開され、利用や改変、再配布を行うことが可能なソフトウェアを指します。

[iii] 米国大統領令(EO14028):米国の連邦政府機関のサイバーセキュリティの改善に関する大統領令で、ソフトウェアサプライチェーンのセキュリティ対策の強化などを求めています。

[iv] EUサイバーレジリエンス法(CRA):EU域内で販売するデジタル製品のサイバーセキュリティ対応を義務付ける法律です。

[v] 医療機器サイバーセキュリティの原則及び実践(IMDRFガイダンス):医療機器に関するサイバーセキュリティ対策の一般原則とベストプラクティスを整理した国際的なガイダンスです。

[vi] PSIRT(Product Security Incident Response Team):製品のセキュリティ脆弱性に関わるリスクマネジメントや、セキュリティインシデント発生時の対応を行う組織を指します。

[vii] CSIRT(Computer Security Incident Response Team):サイバー攻撃をはじめとしたセキュリティインシデントの対応を行う組織を指します。

[viii] SCA(ソフトウェア構成分析):ソフトウェアを構成するコンポーネントを分析し、分析したコンポーネントに関連する既知脆弱性を検出するセキュリティ対策です。

本プレスリリースは発表元企業よりご投稿いただいた情報を掲載しております。
お問い合わせにつきましては発表元企業までお願いいたします。

【企業の皆様へ】企業情報を掲載・登録するには?

御社の企業情報・プレスリリース・イベント情報・製品情報などを登録するには、企業情報センターサービスへのお申し込みをいただく必要がございます。詳しくは以下のページをご覧ください。

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

注目している大規模言語モデル(LLM)を教えてください

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]