内閣官房国家サイバー統括室、および経済産業省は、9月3日、ソフトウェアの脆弱性管理などにおけるSBOM(ソフトウェア部品表)の活用の重要性を示す国際ガイダンスである「A Shared Vision of Software Bill of Materials (SBOM) for Cybersecurity」に共同署名した。
同文書は、経済産業省および米国サイバーセキュリティインフラ安全庁(CISA)の主導により、SBOMの活用の重要性を広く国際的に発信するとともに、SBOM運用上の国際共同ガイダンスを整備することを目的として作成されたもの。SBOMデータの透明性を高めることでソフトウェアのエコシステムから恩恵を受けるソフトウェアの開発者、調達者、運用者、サイバーセキュリティ部門の政府機関を想定読者とし、次の内容を盛り込んでいるという。
-
SBOMとは何か
- SBOMとは、ソフトウェアの構築に使用される、構成要素の詳細およびサプライチェーン関係についての正式な記録
-
SBOM導入のメリット
- ソフトウェアにおける脆弱性管理の効率化
- サプライチェーンリスク管理(安全なソフトウェアの選択/ユーザー・サプライヤーの円滑なコミュニケーション)
- ソフトウェア開発プロセスの改善
- ソフトウェアライセンス管理の効率化
-
SBOMにおけるステークホルダーとその影響
- ソフトウェア開発者:ニーズに最適な構成要素の選択/脆弱性情報への適切な対応が可能
- 調達者:ソフトウェア情報の透明化により、リスク情報に基づいた調達の決定が可能
- 運用者:新しい脆弱性情報について、どのソフトウェアに対処するべきか、より容易な判断が可能
- 政府機関:調達プロセスでの活用等を通じた国全体でのセキュリティリスク体制の改善が可能
-
セキュア・バイ・デザインにおけるSBOMの重要性
- SBOMの活用は、ソフトウェアの製造者・開発者がサプライチェーンの透明性を確保するとともに、説明責任を受け入れるというセキュア・バイ・デザイン原則に合致するもの
同文書は、SBOM活用の重要性について各国の共通認識を整理した簡単なガイダンスであり、次いで、より技術的な内容を具体化したガイダンスの策定に向けて、引き続き国際議論を進める予定だとしている。
【関連記事】
・米国のセキュリティ侵害コストは1022万ドルに増加も、日本平均は365万ドルに減少──IBM調査
・マツダ、AIトランスフォーメーションを進める専門組織「MAXプロジェクト室」を発足
・商業登記電子証明書による電子署名のオンライン化に、サイバートラストが「リモート署名基盤」を提供
この記事は参考になりましたか?
- 関連リンク
- この記事の著者
-
EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)
「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
