ソフトウェアサプライチェーン攻撃に備える、SBOM導入に関する手引書の意見公募を実施 経産省
掲載:2023年05月10日
サイバー速報
目次
ソフトウェアサプライチェ―ン攻撃の脅威が高まる中、経済産業省が作成した「SBOM」導入に関する手引書の意見公募が実施されています。SBOM(エスボム)とはSoftware Bill of Materialsの頭文字をつなげたもので「ソフトウェア部品表」とも呼ばれるソフトウェアの管理手法の一つです。ソフトウェアコンポーネントやそれらの依存関係、ライセンスの種類などをリスト化したデータを作成し運用します。SBOMツールはクラウドで提供されるものもあります。
経済産業省が作成した手引書は「ソフトウェア管理に向けたSBOMの導入に関する手引(案)」です。対象読者は経営層とソフトウェアセキュリティに関わる部門です。具体的にはソフトウェアサプライヤーの開発・設計部門や製品セキュリティ担当部部門などです。
同省によると、SBOMを導入する企業が世界的に増加しており、医療機器分野などでは規制化が検討され始めています。ソフトウェアの脆弱性管理においてSBOMを活用すると工数を低減できるほか、脆弱性の残留リスクを減らす効果があるとしています。
一方、SBOMおよびSBOMツールの導入には課題もあるため手引書が作成されました。手引書では導入時に必要となる実施事項を示すとともにSBOMに関する誤解(米国商務省電気通信情報局が2021年に文書「SBOM Myths vs. Facts」で示した内容)などについても紹介しています。
また付録資料として、環境構築・体制整備フェーズ▽SBOM作成・共有フェーズ▽SBOM運用・管理フェーズ――の3段階における実施事項をまとめたチェックリストが用意されています。意見公募の受け付けは5月25日まで。
おすすめ記事
- SBOM
- PSIRT
- KASEYA(カセヤ)社のサイバー攻撃被害に危機管理の真髄を学ぶ
- コンティンジェンシープラン(Contingency Plan)
- 医療機関向けにサイバーセキュリティ教育を強化、特設サイトを開設 厚労省
- 四重脅迫手口も登場し3年連続ランサムウェア被害が1位、情報セキュリティ10大脅威2023を発表 IPA
- 「サイバー攻撃被害に係る情報の共有・公表ガイダンス(案)」の意見公募を開始、情報共有や被害公表に関する実務をFAQ形式で提示 NISC、警察庁、総務省、経産省
- 付録資料の充実で分量は2倍に、ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引「Ver2.0」案の意見公募を実施 経産省
- ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引「Ver2.0」を公表 経産省