脆弱性の把握に有効、「ソフトウェア管理に向けたSBOMの導入に関する手引 Ver1.0」を公開 経産省
掲載:2023年08月09日
サイバー速報
目次
経済産業省は7月28日、意見公募を経て「ソフトウェア管理に向けたSBOMの導入に関する手引 Ver1.0」を公開しました。ソフトウェアの脆弱性などを突いた「ソフトウェアサプライチェーン攻撃」が増加しており、ソフトウェアを管理する重要性が高まっているためです。ソフトウェアサプライチェーン攻撃の事案では2020年に米国のソフト会社SolarWindsが提供するネットワーク管理ソフトが悪用され、影響は広範囲に及びました。
ソフトウェアはコンポーネントと呼ばれる部品を組み合わせることで、効率的にソフトウェアを作ることができます。一方、コンポーネントはOSS(オープンソースソフトウェア)であったり、他社が開発したものであったりして、管理が煩雑になるという課題もあります。そこで、経済産業省はSBOM(Software Bill of Materials)という手法を用いたソフトウェア管理を推奨し、SBOM導入のための手引書を公開しました。SBOMはソフトウェア部品表とも呼ばれ、コンポーネントの一覧、それぞれの依存関係、ライセンスの種類などをリスト化したデータを作成します。脆弱性情報とSBOMを照合することで、初動対応を早めることにつながります。
手引書はSBOMを導入する利点などを解説した上で、SBOMを実際に導入するにあたって認識・実施すべきポイントを、3段階に分けて示しています。具体的には(1)環境構築・体制整備フェーズ(2)SBOM作成・共有フェーズ(3)SBOM運用・管理フェーズーーとなり、各段階における実施事項をまとめたチェックリストも用意されています。
おすすめ記事
- ISO/IEC27002:2022
- SBOM
- KASEYA(カセヤ)社のサイバー攻撃被害に危機管理の真髄を学ぶ
- サイバー・フィジカル・セキュリティ対策フレームワーク
- 半導体/自動車部品/航空部品/防衛装備のサプライチェーン構成企業を調査、「令和4年度中小企業等に対するサイバー攻撃の実態調査」報告書を公表 IPA
- 付録資料の充実で分量は2倍に、ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引「Ver2.0」案の意見公募を実施 経産省
- 重要経済安保情報保護・活用法と改正経済安全保障推進法を公布 政府
- 「政府機関等の対策基準策定のためのガイドライン(令和5年度版)」の一部改定版を公表 NISC
- ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引「Ver2.0」を公表 経産省
- 「セキュリティ対応組織の教科書」の第3.2版を公開 ISOG-J/JNSA