ソフトウェアサプライチェーン攻撃に備える、SBOM導入に関する手引書の意見公募を実施 経産省

掲載:2023年05月10日

サイバー速報

         
目次

ソフトウェアサプライチェ―ン攻撃の脅威が高まる中、経済産業省が作成した「SBOM」導入に関する手引書の意見公募が実施されています。SBOM(エスボム)とはSoftware Bill of Materialsの頭文字をつなげたもので「ソフトウェア部品表」とも呼ばれるソフトウェアの管理手法の一つです。ソフトウェアコンポーネントやそれらの依存関係、ライセンスの種類などをリスト化したデータを作成し運用します。SBOMツールはクラウドで提供されるものもあります。

経済産業省が作成した手引書は「ソフトウェア管理に向けたSBOMの導入に関する手引(案)」です。対象読者は経営層とソフトウェアセキュリティに関わる部門です。具体的にはソフトウェアサプライヤーの開発・設計部門や製品セキュリティ担当部部門などです。

同省によると、SBOMを導入する企業が世界的に増加しており、医療機器分野などでは規制化が検討され始めています。ソフトウェアの脆弱性管理においてSBOMを活用すると工数を低減できるほか、脆弱性の残留リスクを減らす効果があるとしています。

一方、SBOMおよびSBOMツールの導入には課題もあるため手引書が作成されました。手引書では導入時に必要となる実施事項を示すとともにSBOMに関する誤解(米国商務省電気通信情報局が2021年に文書「SBOM Myths vs. Facts」で示した内容)などについても紹介しています。

また付録資料として、環境構築・体制整備フェーズ▽SBOM作成・共有フェーズ▽SBOM運用・管理フェーズ――の3段階における実施事項をまとめたチェックリストが用意されています。意見公募の受け付けは5月25日まで。