付録資料の充実で分量は2倍に、ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引「Ver2.0」案の意見公募を実施 経産省

掲載:2024年05月20日

サイバー速報

         
目次

経済産業省はこのほど、「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引ver1.0」(2023年7月公表)を改訂して「ver2.0」案を策定、意見公募を開始しました(受付は5月27日まで)。増加するソフトウェアサプライチェーン攻撃を背景に、ソフトウェアを管理する手法の一つとしてSBOM導入を支援する目的のもと、改訂案は策定されました。付録を含めた改訂案の分量は、ver1.0の79ページから159ページと大幅に増加しました。

SBOMとはソフトウェアの部品構成表のことです。サイバーセキュリティの観点からソフトウェアのサプライチェーンを管理する手法としてSBOMの導入が注目を集めています。ソフトウェアに使われている多数のプログラム(ソフトウェア)を可視化しリストにしたSBOMと脆弱性情報を照合することで初動対応を早めることにつながると期待されているためです。

改訂案ではまず、第7章が追加されました。第7章は「脆弱性管理プロセスの具体化」と題され、ソフトウェアの脆弱性を管理する一連のプロセスにおいてSBOMを効果的に活用するための具体的な手順と考え方がまとめられています。

次に付録が追加されました。SBOM対応範囲を判断するためのフレームワーク「SBOM対応モデル」(付録8)と、SBOMに関して委託先との契約などにおいて規定すべき事項を示した「SBOM取引モデル」(付録9)です。

SBOM対応モデルは、どの範囲まで対応すると良いのか対応範囲を可視化し、推奨項目や要求項目の範囲を示すもので、業種別の参考例も示されています。他方、「SBOM取引モデル」は既存のモデル契約書と組み合わせて活用されることを想定しています。具体的には要求事項、責任、コスト負担、権利などについて示されています。