脆弱性の把握に有効、「ソフトウェア管理に向けたSBOMの導入に関する手引 Ver1.0」を公開 経産省

掲載:2023年08月09日

サイバー速報

         
目次

経済産業省は7月28日、意見公募を経て「ソフトウェア管理に向けたSBOMの導入に関する手引 Ver1.0」を公開しました。ソフトウェアの脆弱性などを突いた「ソフトウェアサプライチェーン攻撃」が増加しており、ソフトウェアを管理する重要性が高まっているためです。ソフトウェアサプライチェーン攻撃の事案では2020年に米国のソフト会社SolarWindsが提供するネットワーク管理ソフトが悪用され、影響は広範囲に及びました。

ソフトウェアはコンポーネントと呼ばれる部品を組み合わせることで、効率的にソフトウェアを作ることができます。一方、コンポーネントはOSS(オープンソースソフトウェア)であったり、他社が開発したものであったりして、管理が煩雑になるという課題もあります。そこで、経済産業省はSBOM(Software Bill of Materials)という手法を用いたソフトウェア管理を推奨し、SBOM導入のための手引書を公開しました。SBOMはソフトウェア部品表とも呼ばれ、コンポーネントの一覧、それぞれの依存関係、ライセンスの種類などをリスト化したデータを作成します。脆弱性情報とSBOMを照合することで、初動対応を早めることにつながります。

手引書はSBOMを導入する利点などを解説した上で、SBOMを実際に導入するにあたって認識・実施すべきポイントを、3段階に分けて示しています。具体的には(1)環境構築・体制整備フェーズ(2)SBOM作成・共有フェーズ(3)SBOM運用・管理フェーズーーとなり、各段階における実施事項をまとめたチェックリストも用意されています。