ソフトウェアサプライチェーンのセキュリティ強化に向け具体的なプロセスを解説、「SBOM導入・運用の手引き」を公開 IPA
情報処理推進機構(IPA)はこのほど、「SBOM導入・運用の手引き」を公開しました。
SBOM(Software Bill of Materials)とは、ソフトウェアのコンポーネントやそれらの依存関係の情報を、機械判読可能な形式で表した表のことで、日本語では「ソフトウェア部品表」とも呼ばれるものです。SBOMはソフトウェアサプライチェーンのセキュリティ強化に効果的だとされており、日本でも導入に向けた検討がなされている中、SBOMに関する知見を高めることを目的として、本ガイドラインが公開されました。
SBOMを導入するメリットとしては、脆弱性管理能力の向上、ライセンス管理能力の向上の二点が挙げられています。SBOMを使用してコンポーネント管理を行うことで、従来ではできなかった複雑な階層構造の脆弱性やライセンス情報が正確に検知できるとされています。
具体的な導入・運用の手順は「環境構築・体制整備」、「SBOM作成・共有」、「SBOM運用・管理」の3フェーズに分けて解説されています。
「環境構築・体制整備」のフェーズでは、例えば、SBOM適用範囲の設定をする際は、経済産業省が公開している「SBOM(Software Bill of Materials)の導入に関する手引き」にある5W1Hの方法で情報を整理できるとし、項目の一覧表が引用されました。
「SBOM作成・共有」のフェーズでは、例えば、SBOMを作成する際は、最小要件のほかに提供先の要件や規制も確認したうえで、使用するフォーマットや含める項目を決定すべきだと記されました。同じフォーマット、同じバージョンのSBOMでも、表記方法の軽微な差異により正常にインポートできない可能性があるためだとされています。
「SBOM運用・管理」のフェーズでは、SBOMの活用法が説明されました。例えば、コンポーネントの管理にSBOMを用いることで、ソフトウェアサプライチェーンの上流から下流までを可視化でき、脆弱性のあるコンポーネントの発見にかかる時間・工数を大幅に削減できると記されています。ただし、SBOMはあくまで脆弱性対応フローの一部において効果を発揮するものであることに留意する必要があると述べられました。