サイバーセキュリティの話題が世間をにぎわすことも増えてきますが、近年、その中でも注目される用語の一つがSBOM（Software Bill of Materials）です。この言葉は、そのままの意味で、ソフトウェアの部品管理表を指します。つまり、ソフトウェアのコンポーネントやそれらの依存関係、ライセンスに関するデータを一覧化したものです。特に、オープンソースソフトウェア（OSS）の情報を整理することで、サイバーセキュリティの対策に役立てるケースが増えています。自動車業界や医療機器業界、FA業界などでも注目され、多くの企業が対策に追われています。

このブログでは、SBOM・サイバーセキュリティ関連サービスや先端技術導入支援サービス等を提供するCovalent株式会社より、SBOMの特徴と円滑な導入のための取り組みについて紹介します。

SBOMが必要とされる理由

SBOMの話題について議論する際に避けて通れないのがOSSです。
代表的な例として、OSのLinuxが挙げられます。近年、あらゆるソフトウェア開発においてOSSの利用が増え、2022年のシノプシス社の調査によれば、96%の開発でOSSが利用されているとの調査結果が発表されました。

特にIoT業界では、ソフトウェアの複雑さが増し、OSSの利用も急速に広がっていますが、OSSの利用にはリスクも伴います。例えば、正確なOSSの把握やライセンスの遵守などが挙げられます。

こうした課題に対処するために、SBOMの活用が広がっています。

OSS管理に有益なSBOM

SBOMはOSS管理に非常に有益です。具体的なメリットを以下に示します。

1. ライセンスリスクの防止 : 使用されている OSS のライセンス違反から生じるリスクを防止
2. 脆弱性リスクの回避 : 使用されている OSS に含まれる脆弱性から生じるリスクを防止
3. 規制への適合 : 様々な業界のサイバーセキュリティ規制に効率的に対応
4. 対外的な説明責任の強化 : 脆弱性に対処する際に合理的な対策を行っていたことの説明

SBOMについて単に脆弱性対策の意味合いが強いと思われがちですが、サイバーセキュリティ時代におけるコンプライアンス対応やサプライチェーンリスク対策など、その他にも有益な効果をもたらします。しかしながら、これらのメリットを享受できている企業はまだ多くはありません。その理由についても考察してみたいと思います。

SBOMの導入の難しさ

利便性がある一方、導入も大変難しいというのがSBOMツールの特徴です。日本のソフトウェア産業におけるテスト依存の品質への過剰なこだわりや未成熟な技術を使いながら鍛える文化がないことも影響していると感じます。

以下は、導入を妨げる一般的な理由です。

1. SBOM の検出技術の未熟さ: その結果、OSSの検出精度が低い場合がある
2. 自社に合致する要件整理の難しさ
3. OSS や脆弱性の進化に追いつけないこと: OSSや脆弱性の進化が速く、完璧なSBOMツールを選定することが難しい場合がある
4. 適切な導入目標の設定の難しさ

これらの不確実性や技術未熟度、要件の具体化、高度な専門知識の必要性といった課題に向き合いながら、導入を進めることは非常に困難です。そのため、日本企業の単独でのSBOMツール導入の事例は少ないです。

しかし、多くの企業が必要性を感じており、簡単に適切な導入手順を紹介できればと思います。

望ましいSBOMツール導入の流れ

理想的な流れとしては、以下の手順でSBOMの導入を進めていくことが望ましいです。

1. SBOM ツールの導入プラン策定

- (ア) OSS管理に関する法令や規格に基づく要件を整理

- (イ) 上記を踏まえ、必要なOSS管理とSBOMツールの機能や仕様を明確化

- (ウ) 取引先との契約における修正ポイントや問題点を整理

2. SBOM ツールのPoCを通じた選定

- (ア) 複数のSBOMツールを調査し、候補ツールを特定

- (イ) SBOMツールの評価基準を策定

- (ウ) PoCを計画し、評価に必要な情報を得られるように実行

- (エ) 評価基準とPoC結果を踏まえて、最適なSBOMツールを選定

3. SBOM ツールの導入

- (ア) 選定したSBOMツールをセットアップ

- (イ) SBOMツールに合わせた運用業務や役割分担、運用ルール、体制を整備

- (ウ) SBOM運用に必要な条項を取引先との契約に反映

- (エ) SBOMによるOSS部品管理や脆弱性・ライセンス管理の運用支援体制を適宜活用

詳細な説明は割愛しますが、これらの手順をベースにSBOMの導入を検討していただければと思います。しかし、導入後のSBOMツールの運用が最も重要であることを最後にお伝えしたいと思います。

SBOM運用における要点

SBOMツールの導入までスムーズに完了できたとしても、運用が追いつかなければ意味がありません。

そのため、弊社では運用設計のスコープとして、基本方針の策定からSBOM運用業務のプロセスと役割分担、SBOM運用ルールの設計、運用体制の整備、さらには契約体系の整備まで、一連の流れに沿って構築することが必要だと考えています。

まとめ

SBOMツール導入後に、運用が追いつかない現象が起きると（実際、ツールを導入したものの、1年間も活用されていないケースも少なくありません）、導入効果が得られなかったというミスジャッジが生じることもあります。こうした事態を避けるためにも、ツールを十分に機能させて効果を得られるよう、Covalent株式会社及びトレノケート社の研修・教育、導入支援・運用設計支援及び運用支援のサービスも合わせてご利用いただければ幸いです。

Covalent株式会社について
トレノケートのIT研修について

無料セミナー開催！　SBOM(ソフトウェア部品表)/OSS管理の基礎とそのグローバルトレンド

「最近SBOMってよく聞くな。いったいどんなものなの？」
「海外のOSS管理のトレンドや規制はどうなってるの？これから日本企業も準備するべき？」
「SBOMツールはどんなのがあるの？」
とお感じの方にSBOMやOSS管理の基礎及びグローバルトレンドを掴んでいただくことを目的としたセミナーです。

non ITの方でも概要をつかめるように、OSSの説明から具体的なツールの概要紹介まで行いますので、お気楽にご参加ください。

• 日程：2024年4月26日(金)

• 時刻：15時00分～16時00分

• 場所：オンライン (Zoom使用）

セミナー詳細・お申し込みはこちらから

著者情報

小林弘樹 氏 (Covalent株式会社 Managing Director)

デロイトトーマツコンサルティングを経て2016年にCovalentグループを共同創業。
海外での事業経験およびコンサルティング経験や、xR・AI・ブロックチェーン・Roboticsに代表される先端技術の現場導入経験が強み。
Covalentではリサーチ・サービスを統括。コンサルタント時代の経験を通じて得たリサーチ技術をベースに、海外市場や先端技術に関する詳細な情報提供サービスを運営。
自身の専門性を活かして経済産業省商務情報政策局を代表とする官公庁関連のプロジェクトの責任者も担う。
グループ投資先の先端技術系スタートアップの取締役も兼務し、技術現場の課題やニーズ発掘へと活用。

Covalent 株式会社　
2016年設立のコンサルティング会社で以下のサービスを提供している。

• 先端技術リサーチサービス
• 海外スタートアップリサーチサービス
• 海外市場動向リサーチサービス
• イノベーション創出支援サービス
• 先端技術導入支援サービス
• SBOM・サイバーセキュリティ関連サービス
• 投資・買収・提携支援サービス
• ファンド向け支援
• IPO・バリューアップ支援