SBOM
掲載:2022年06月16日
執筆者:ニュートン・コンサルティング 編集部
用語集
SBOMとは、特定のソフトウェアに含まれるコンポーネントや依存関係、ライセンスの種類などをリスト化した「ソフトウェア部品表(Software Bill of Materials)」のことであり、「エスボム」と読みます。
オープンソースをはじめとするソフトウェアのサイバーセキュリティが懸念される昨今、開発から配布、利用までのソフトウェアサプライチェーンのリスク対策は大きな課題の一つです。SBOMはソフトウェアサプライチェーンの可視化に役立ち、ソフトウェアの脆弱性対応に貢献するものとして期待されています。
SBOMへの世界的な注目度が高まった契機として、2021年5月に米国のバイデン大統領が署名したサイバーセキュリティ強化のための大統領令があります。
大統領令では、ソフトウェアのサプライチェーンセキュリティ強化を含むセキュリティ基準が示されました。
さらに、同年7月には、米国商務省電気通信情報局(NTIA)が「The Minimum Elements For a Software Bill of Materials」を公開し、SBOMにおける最小要素(データフィールド(Data Fields)・自動化サポート(Automation Support)・プラクティスとプロセス(Practices and Processes))を定めています。
SBOMはHTML等で作成するほか、SPDX(Software Package Data Exchange)、SWID(Software Identification)タグといったSBOM作成のためのフォーマットを利用することもできます。
SBOMは日本においても普及が推進されており、今後ますます重要性が高まると予想されます。
