トップ > セキュリティ > SBOM(エスボム)

SBOM(エスボム)

セキュリティ ソリューション6 S あ-え

 SBOM(エスボム)とは、ソフトウェア部品表(Software Bill of Materials)の略で、ソフトウェアを構成する部品(コンポーネント)やその依存関係を整理したリストであり、ソフトウェア管理手法の一つです。このリストを活用することで、ソフトウェア開発の現場でオープンソースソフトウェア(以下、OSS)の利用状況を正確に把握できます。具体的には、ソフトウェアを構成するコンポーネントの名称やバージョン番号、ライセンスの種類などが含まれます。

図. SBOMの例(SPDXフォーマット)
出所:NTIA「Survey of Existing SBOM Formats and Standards - Version 2021」に掲載の例を基に大和総研作成

 近年、ソフトウェア開発においてOSSの利用は欠かせないものとなっていますが、一方でOSSに関する脆弱性情報が頻繁に公開されています。また、OSSの依存関係が複雑化する中で、企業の資産管理が適切に行われていないケースが多く見受けられます。たとえば、企業がJavaを使用している場合、主要なライブラリやフレームワークの管理は行われていても、OSSの一部が資産管理から漏れてしまうことがあります。ロギングフレームワークであるLog4jやLogbackがその一例です。このような漏れは、脆弱性が見つかっても気づけないというセキュリティリスクや、ライセンス違反・著作権侵害といった法的リスクを引き起こす可能性があるため、OSSを含むすべての依存関係を正確に把握し、管理することが必要です。

 2021年、米国では「国家のサイバーセキュリティ改善についての大統領令(※1)」が発令され、連邦政府機関におけるSBOMの導入が義務づけられました。また、国内においては、経済産業省が2023年に「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引(※2)」を策定し、ソフトウェアサプライヤー向けにSBOMの導入メリットや実施ポイントをまとめ、企業のセキュリティ対策を支援しています。さらに、2024年10月に金融庁が公表した「金融分野におけるサイバーセキュリティに関するガイドライン(※3)」や、同年7月に総務省が公表した「ICTサイバーセキュリティ政策の中期重点方針(※4)」においても、SBOMの整備が推奨されています。

 このように、国内でも、政府や企業がサイバーセキュリティ対策を強化する中で、SBOMの導入の機運が高まっています。特に、ソフトウェアの安全性や信頼性を確保するための基盤として、SBOMの重要性が広く認識されています。

参考文献

(※1)Executive Order on Improving the Nation's Cybersecurity | CISA
https://www.cisa.gov/topics/cybersecurity-best-practices/executive-order-improving-nations-cybersecurity
(※2)経済産業省「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引ver2.0」
https://www.meti.go.jp/press/2024/08/20240829001/20240829001-1r.pdf
(※3)金融庁「金融分野におけるサイバーセキュリティに関するガイドライン」
https://www.fsa.go.jp/news/r6/sonota/20241004/18.pdf
(※4)総務省「ICTサイバーセキュリティ政策の中期重点方針」
https://www.soumu.go.jp/main_content/000960379.pdf

レポート・コラム

2024年10月8日
『主要行等向けの総合的な監督指針』等の一部改正(案)及び『金融分野におけるサイバーセキュリティに関するガイドライン』(案)の公表 2024年10月08日 | 大和総研 | 田川 晋作