SBOM
掲載:2022年06月16日
執筆者:ニュートン・コンサルティング 編集部
用語集
SBOMとは、特定のソフトウェアに含まれるコンポーネントや依存関係、ライセンスの種類などをリスト化した「ソフトウェア部品表(Software Bill of Materials)」のことであり、「エスボム」と読みます。
オープンソースをはじめとするソフトウェアのサイバーセキュリティが懸念される昨今、開発から配布、利用までのソフトウェアサプライチェーンのリスク対策は大きな課題の一つです。SBOMはソフトウェアサプライチェーンの可視化に役立ち、ソフトウェアの脆弱性対応に貢献するものとして期待されています。
SBOMへの世界的な注目度が高まった契機として、2021年5月に米国のバイデン大統領が署名したサイバーセキュリティ強化のための大統領令があります。
大統領令では、ソフトウェアのサプライチェーンセキュリティ強化を含むセキュリティ基準が示されました。
さらに、同年7月には、米国商務省電気通信情報局(NTIA)が「The Minimum Elements For a Software Bill of Materials」を公開し、SBOMにおける最小要素(データフィールド(Data Fields)・自動化サポート(Automation Support)・プラクティスとプロセス(Practices and Processes))を定めています。
SBOMはHTML等で作成するほか、SPDX(Software Package Data Exchange)、SWID(Software Identification)タグといったSBOM作成のためのフォーマットを利用することもできます。
SBOMは日本においても普及が推進されており、今後ますます重要性が高まると予想されます。
おすすめ記事
- サイバーセキュリティの成熟度モデル認定(CMMC)を読み解く (前編) ~CMMC1.0とは~
- 2022年のセキュリティ動向
- サイバー・フィジカル・セキュリティ対策フレームワーク
- ISO/IEC27001:2022 ~旧版との違いと企業に求められる対応~
- 付録資料の充実で分量は2倍に、ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引「Ver2.0」案の意見公募を実施 経産省
- 重要経済安保情報保護・活用法と改正経済安全保障推進法を公布 政府
- IMDRFガイダンス
- 「政府機関等の対策基準策定のためのガイドライン(令和5年度版)」の一部改定版を公表 NISC
- ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引「Ver2.0」を公表 経産省