catch-img

SBOMとは?特徴と導入のためのポイントについて解説

サイバーセキュリティの話題が世間をにぎわすことも増えてきますが、近年、その中でも注目される用語の一つがSBOMSoftware Bill of Materials)です。この言葉は、そのままの意味で、ソフトウェアの部品管理表を指します。つまり、ソフトウェアのコンポーネントやそれらの依存関係、ライセンスに関するデータを一覧化したものです。特に、オープンソースソフトウェア(OSS)の情報を整理することで、サイバーセキュリティの対策に役立てるケースが増えています。自動車業界や医療機器業界、FA業界などでも注目され、多くの企業が対策に追われています。

 

このブログでは、SBOM・サイバーセキュリティ関連サービスや先端技術導入支援サービス等を提供するCovalent株式会社より、SBOMの特徴と円滑な導入のための取り組みについて紹介します。

 

SBOMが必要とされる理由

SBOMの話題について議論する際に避けて通れないのがOSSです。
代表的な例として、OSLinuxが挙げられます。近年、あらゆるソフトウェア開発においてOSSの利用が増え、2022年のシノプシス社の調査によれば、96%の開発でOSSが利用されているとの調査結果が発表されました。

特にIoT業界では、ソフトウェアの複雑さが増し、OSSの利用も急速に広がっていますが、OSSの利用にはリスクも伴います。例えば、正確なOSSの把握やライセンスの遵守などが挙げられます。

こうした課題に対処するために、SBOMの活用が広がっています。

 

OSS管理に有益なSBOM

SBOMはOSS管理に非常に有益です。具体的なメリットを以下に示します。

  1. ライセンスリスクの防止 : 使用されている OSS のライセンス違反から生じるリスクを防止
  2. 脆弱性リスクの回避 : 使用されている OSS に含まれる脆弱性から生じるリスクを防止
  3. 規制への適合 : 様々な業界のサイバーセキュリティ規制に効率的に対応
  4. 対外的な説明責任の強化 : 脆弱性に対処する際に合理的な対策を行っていたことの説明

SBOMについて単に脆弱性対策の意味合いが強いと思われがちですが、サイバーセキュリティ時代におけるコンプライアンス対応やサプライチェーンリスク対策など、その他にも有益な効果をもたらします。しかしながら、これらのメリットを享受できている企業はまだ多くはありません。その理由についても考察してみたいと思います。

 

SBOMの導入の難しさ

利便性がある一方、導入も大変難しいというのがSBOMツールの特徴です。日本のソフトウェア産業におけるテスト依存の品質への過剰なこだわりや未成熟な技術を使いながら鍛える文化がないことも影響していると感じます。

以下は、導入を妨げる一般的な理由です。

  1. SBOM の検出技術の未熟さ: その結果、OSSの検出精度が低い場合がある
  2. 自社に合致する要件整理の難しさ
  3. OSS や脆弱性の進化に追いつけないこと: OSSや脆弱性の進化が速く、完璧なSBOMツールを選定することが難しい場合がある
  4. 適切な導入目標の設定の難しさ

これらの不確実性や技術未熟度、要件の具体化、高度な専門知識の必要性といった課題に向き合いながら、導入を進めることは非常に困難です。そのため、日本企業の単独でのSBOMツール導入の事例は少ないです。

しかし、多くの企業が必要性を感じており、簡単に適切な導入手順を紹介できればと思います。

望ましいSBOMツール導入の流れ

理想的な流れとしては、以下の手順でSBOMの導入を進めていくことが望ましいです。

 

  1. SBOM ツールの導入プラン策定

- (ア) OSS管理に関する法令や規格に基づく要件を整理

- (イ) 上記を踏まえ、必要なOSS管理とSBOMツールの機能や仕様を明確化

- (ウ) 取引先との契約における修正ポイントや問題点を整理

 

  1. SBOM ツールのPoCを通じた選定

- (ア) 複数のSBOMツールを調査し、候補ツールを特定

- (イ) SBOMツールの評価基準を策定

- (ウ) PoCを計画し、評価に必要な情報を得られるように実行

- (エ) 評価基準とPoC結果を踏まえて、最適なSBOMツールを選定

 

  1. SBOM ツールの導入

- (ア) 選定したSBOMツールをセットアップ

- (イ) SBOMツールに合わせた運用業務や役割分担、運用ルール、体制を整備

- (ウ) SBOM運用に必要な条項を取引先との契約に反映

- (エ) SBOMによるOSS部品管理や脆弱性・ライセンス管理の運用支援体制を適宜活用

 

詳細な説明は割愛しますが、これらの手順をベースにSBOMの導入を検討していただければと思います。しかし、導入後のSBOMツールの運用が最も重要であることを最後にお伝えしたいと思います。

 

SBOM運用における要点

SBOMツールの導入までスムーズに完了できたとしても、運用が追いつかなければ意味がありません。

そのため、弊社では運用設計のスコープとして、基本方針の策定からSBOM運用業務のプロセスと役割分担、SBOM運用ルールの設計、運用体制の整備、さらには契約体系の整備まで、一連の流れに沿って構築することが必要だと考えています。

 

まとめ

SBOMツール導入後に、運用が追いつかない現象が起きると(実際、ツールを導入したものの、1年間も活用されていないケースも少なくありません)、導入効果が得られなかったというミスジャッジが生じることもあります。こうした事態を避けるためにも、ツールを十分に機能させて効果を得られるよう、Covalent株式会社及びトレノケート社の研修・教育、導入支援・運用設計支援及び運用支援のサービスも合わせてご利用いただければ幸いです。


Covalent株式会社について
トレノケートのIT研修について

 

無料セミナー開催! SBOM(ソフトウェア部品表)/OSS管理の基礎とそのグローバルトレンド

「最近SBOMってよく聞くな。いったいどんなものなの?」
「海外のOSS管理のトレンドや規制はどうなってるの?これから日本企業も準備するべき?」
「SBOMツールはどんなのがあるの?」
とお感じの方にSBOMやOSS管理の基礎及びグローバルトレンドを掴んでいただくことを目的としたセミナーです。

non ITの方でも概要をつかめるように、OSSの説明から具体的なツールの概要紹介まで行いますので、お気楽にご参加ください。

  • 日程:2024年4月26日(金)

  • 時刻:15時00分~16時00分

  • 場所:オンライン (Zoom使用)

セミナー詳細・お申し込みはこちらから

 

著者情報

小林弘樹 氏 (Covalent株式会社 Managing Director)

小林さまお写真_blog用

デロイトトーマツコンサルティングを経て2016年にCovalentグループを共同創業。
海外での事業経験およびコンサルティング経験や、xR・AI・ブロックチェーン・Roboticsに代表される先端技術の現場導入経験が強み。
Covalentではリサーチ・サービスを統括。コンサルタント時代の経験を通じて得たリサーチ技術をベースに、海外市場や先端技術に関する詳細な情報提供サービスを運営。
自身の専門性を活かして経済産業省商務情報政策局を代表とする官公庁関連のプロジェクトの責任者も担う。
グループ投資先の先端技術系スタートアップの取締役も兼務し、技術現場の課題やニーズ発掘へと活用。

 

Covalent 株式会社 
2016年設立のコンサルティング会社で以下のサービスを提供している。

  • 先端技術リサーチサービス
  • 海外スタートアップリサーチサービス
  • 海外市場動向リサーチサービス
  • イノベーション創出支援サービス
  • 先端技術導入支援サービス
  • SBOM・サイバーセキュリティ関連サービス
  • 投資・買収・提携支援サービス
  • ファンド向け支援
  • IPO・バリューアップ支援

トレノケート公式ブログ 編集部

人材育成・スキルアップに役立つ情報をお届けします。

無料ダウンロード

オススメコンテンツ

オススメ記事

プロジェクトマネジメント PMP AWS ビジネススキル Microsoft PMBOKⓇ 田中淳子 IT資格 人材育成 山下光洋 AMA Azure コミュニケーション 人材開発用語集 PMBOK®ガイド入門 クラウド ITスキル 新入社員 横山哲也 人材育成応援ラジオ PMP試験問題に挑戦 re:Invent セキュリティ DX Cisco PMBOKⓇガイド 第6版 試験体験記 イベント・セミナー PMBOK®ガイド第6版の変更点 人材開発 AI(人工知能) CCIE CCNA テレワーク ネットワーク リモートワーク 研修 GCP PMP(R)試験問題 第6版対応 PMP合格体験記 Windows Server AWS_Q&A Active Directory DX人材育成 IT人材 IT資格解説 アセスメント キャリア デジタルビジネス ヒューマンスキル リーダーシップ 人気コースランキング 大喜利 部下の育成 Conversations PMの心得 グローバル人材 新入社員研修といえば IoT OJT reinvent2022 リスキリング AI人材 CCNP Security Windows PowerShell クリエイティビティ プログラミング 人材トレンド 試験対策問題 PMP試験対策一問一答 コーチング プロジェクト プロトタイプビルダー 生成AI 1on1 AWS_DiscoveryDay AWSトレーニングイベント GCP無料セミナー Google Cloud Google Cloud Platform G検定 ITインフラ oVice アワード クリティカルシンキング サンプル問題 ステークホルダー ダイバーシティ ディープラーニング ワーケーション 自律 試験Tips Linux PMI Power Platform Python Teams Web会議 jawsdays2024