付録資料の充実で分量は2倍に、ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引「Ver2.0」案の意見公募を実施 経産省
掲載:2024年05月20日
サイバー速報
目次
経済産業省はこのほど、「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引ver1.0」(2023年7月公表)を改訂して「ver2.0」案を策定、意見公募を開始しました(受付は5月27日まで)。増加するソフトウェアサプライチェーン攻撃を背景に、ソフトウェアを管理する手法の一つとしてSBOM導入を支援する目的のもと、改訂案は策定されました。付録を含めた改訂案の分量は、ver1.0の79ページから159ページと大幅に増加しました。
SBOMとはソフトウェアの部品構成表のことです。サイバーセキュリティの観点からソフトウェアのサプライチェーンを管理する手法としてSBOMの導入が注目を集めています。ソフトウェアに使われている多数のプログラム(ソフトウェア)を可視化しリストにしたSBOMと脆弱性情報を照合することで初動対応を早めることにつながると期待されているためです。
改訂案ではまず、第7章が追加されました。第7章は「脆弱性管理プロセスの具体化」と題され、ソフトウェアの脆弱性を管理する一連のプロセスにおいてSBOMを効果的に活用するための具体的な手順と考え方がまとめられています。
次に付録が追加されました。SBOM対応範囲を判断するためのフレームワーク「SBOM対応モデル」(付録8)と、SBOMに関して委託先との契約などにおいて規定すべき事項を示した「SBOM取引モデル」(付録9)です。
SBOM対応モデルは、どの範囲まで対応すると良いのか対応範囲を可視化し、推奨項目や要求項目の範囲を示すもので、業種別の参考例も示されています。他方、「SBOM取引モデル」は既存のモデル契約書と組み合わせて活用されることを想定しています。具体的には要求事項、責任、コスト負担、権利などについて示されています。
おすすめ記事
- サプライチェーン攻撃
- ISO/IEC27002:2022
- SBOM
- KASEYA(カセヤ)社のサイバー攻撃被害に危機管理の真髄を学ぶ
- サイバー・フィジカル・セキュリティ対策フレームワーク
- 脆弱性の把握に有効、「ソフトウェア管理に向けたSBOMの導入に関する手引 Ver1.0」を公開 経産省
- 半導体/自動車部品/航空部品/防衛装備のサプライチェーン構成企業を調査、「令和4年度中小企業等に対するサイバー攻撃の実態調査」報告書を公表 IPA
- 「サイバー空間における脅威の概況2023」を公表 公安調査庁
- 上位は今年もランサムウェアとサプライチェーン攻撃、「情報セキュリティ10大脅威 2024」を公表 IPA
- サプライチェーン攻撃や虚偽情報拡散の脅威などを紹介、2023年版「情報セキュリティ白書」を公表 IPA
- ソフトウェアサプライチェーン攻撃に備える、SBOM導入に関する手引書の意見公募を実施 経産省
- 重要経済安保情報保護・活用法と改正経済安全保障推進法を公布 政府
- IMDRFガイダンス
- 「政府機関等の対策基準策定のためのガイドライン(令和5年度版)」の一部改定版を公表 NISC
- 「セキュリティ対応組織の教科書」の第3.2版を公開 ISOG-J/JNSA