ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引「Ver2.0」を公表 経産省
SBOM(ソフトウェア部品表)の導入・普及を推進している経済産業省は8月29日、「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引」の「ver2.0」を公表しました。改訂に当たっては、4月26日~5月27日まで意見公募を行い、100件(20者)の意見が寄せられました。
ソフトウェアはコンポーネントと呼ばれる部品を組み合わせることで、効率的にソフトウェアを作ることができます。一方、コンポーネントはOSS(オープンソースソフトウェア)であったり、他社が開発したものであったりして、管理が煩雑になるという課題もあります。SBOMはこうした課題に有効な手法とされています。部品構成に基づくソフトウェア管理や脆弱性管理を効率化できるためです。
SBOMの導入・普及を推進する目的で経済産業省は2023年7月、SBOM導入の手引きを策定しました。今回の改訂では主に次の3点を追記しました。
- (1)第7章「脆弱性管理プロセスの具体化」
- 第7章を新設し、SBOMを用いた脆弱性管理プロセスにフォーカスした具体的な手順と考え方について解説しました。SBOM導入では、作成▽共有▽運用▽管理といった全体プロセスのうち、特に脆弱性管理のフェーズが重要だと記しています。
- (2)付録資料「SBOM対応モデル」の追加
- 手引きではSBOM活用について、導入するかしないかの二択ではないと示し、SBOMで特定される部品の範囲や脆弱性管理の範囲など、「どこまで対応できているか違いを可視化すること」が重要だと強調しました。比較可能な共通的なフレームワークを提示し、取引での活用を促しました。
- (3)付録資料「SBOM取引モデル」の追加
- ソフトウェア供給者はSBOM対応範囲を可視化することで脆弱性管理レベルの高さを示せます。これが調達者の評価につながる一方、調達者も一定のコストを負担するなどの仕組みがないと供給者にとってのインセンティブが働きにくくなります。そこで調達者と供給者の間でSBOMに関して契約に規定すべき事項(要求事項、責任、コスト負担、権利など)の参考例を示しました。