経済産業省は、ソフトウェアサプライチェーンが複雑化する中で、急激に脅威が増しているソフトウェアのセキュリティを確保するための管理手法の1つである「SBOM(Software Bill of Materials:ソフトウェア部品表)」を導入するメリットや、実際の導入にあたって認識・実施すべきポイントをまとめた、おもにソフトウェアサプライヤ向けの手引書を策定したことを、7月28日に発表した。
同手引では、SBOMを「ソフトウェアコンポーネントやそれらの依存関係の情報も含めた機械処理可能な一覧リスト」と定義しており、ソフトウェアに含まれるコンポーネントの名称やバージョン情報、コンポーネントの開発者などの情報が含まれ、OSSだけでなくプロプライエタリソフトウェアに関する情報も含められる。また、SBOMをソフトウェアサプライチェーンの上流から下流に向かって、組織を超えて相互共有することで、ソフトウェアサプライチェーンの透明性を高められることが期待されている。
アメリカでは、大統領令に基づいて連邦政府機関におけるSBOMを含めた、ソフトウェアサプライチェーンセキュリティ対策の強化に向けた動きが進展しており、QUAD(日米豪印戦略対話)では政府調達ソフトウェアのセキュリティ確保に向けて発表された、ソフトウェアの安全な開発・調達・運用に関する方針を示した共同原則において、SBOMを含むソフトウェアコンポーネントの詳細情報や、サプライチェーン情報を適切に管理することが掲げられた。
同手引は、SBOMを導入するメリットやSBOMに関する誤解と事実といった、SBOMに関する基本的な情報を提供するとともに、SBOMを実際に導入するにあたって認識・実施すべきポイントを、
- 環境構築・体制整備フェーズ
- SBOM作成・共有フェーズ
- SBOM運用・管理フェーズ
と、フェーズごとに示している。
おもな読者としては、パッケージソフトウェアや組込みソフトウェアに関するソフトウェアサプライヤを対象にしているものの、ソフトウェアを調達して利用するユーザー企業でも活用できるという。
この記事は参考になりましたか?
- この記事の著者
-
CodeZine編集部(コードジンヘンシュウブ)
CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
