ソフトウェア部品表（SBOM）の導入が加速、サプライチェーンの透明性確保が必須に

背景

近年、Log4jやSolarWindsのような、ソフトウェアの構成要素（ライブラリやフレームワーク）に潜む脆弱性を悪用したサプライチェーン攻撃が世界中で猛威を振るっています。これを受け、ソフトウェアに何が含まれているかをリスト化した「SBOM（Software Bill of Materials：ソフトウェア部品表）」の作成と共有を求める動きが急速に広まっています。米国では大統領令により政府調達ソフトウェアへのSBOM添付が義務化され、日本でも経済産業省がガイドラインを策定するなど、導入が推奨から義務へと変わりつつあります。SBOMは、自社開発のソフトウェアだけでなく、購入したパッケージソフトや組み込み機器のファームウェアに含まれるOSS（オープンソースソフトウェア）の脆弱性を管理するための「成分表示」として、企業のセキュリティ管理に不可欠な要素となっています。

実態

現代のソフトウェア開発において、全てのコードをゼロから書くことは稀であり、多くの機能はOSSライブラリやサードパーティ製コンポーネントに依存しています。しかし、開発者自身も「どのライブラリの、どのバージョンを、どの階層で（直接依存か間接依存か）使っているか」を完全に把握できていないケースが多々あります。SBOMは、SPDXやCycloneDXといった標準フォーマットを用いて、ソフトウェアに含まれるコンポーネント名、バージョン、ライセンス情報、依存関係を機械可読な形式で記述したものです。SBOMがない場合、新たな脆弱性（例：Apache Struts 2の脆弱性）が発見された際、自社のシステムが影響を受けるかどうかを調査するだけで数週間を要することもあります。一方、SBOMを整備している組織では、脆弱性データベースとSBOMを自動照合することで、影響を受ける資産を数分で特定し、迅速な対応が可能になります。現在、自動車業界や医療機器業界など、安全性が重視される分野からSBOMの導入が進んでいますが、今後は一般的なITシステム調達においても提出が求められる機会が増えると予想されます。

影響と対策

SBOMの未導入は、脆弱性対応の遅れによるセキュリティリスクだけでなく、ライセンス違反（GPL汚染など）による訴訟リスクや、取引先からの信頼喪失、入札参加資格の喪失といったビジネスリスクに直結します。対策としては、まず開発プロセス（CI/CDパイプライン）にSBOM生成ツールを組み込み、ビルドごとに最新のSBOMを自動生成する体制を構築します。購入するソフトウェアについては、ベンダーに対してSBOMの提出を契約条件に盛り込むことが重要です。生成されたSBOMは単に保存するだけでなく、脆弱性管理ツールと連携させ、新たな脆弱性情報（CVE）が公開されるたびに自動でリスク評価を行う「VEX（Vulnerability Exploitability eXchange）」の運用も検討すべきです。FortinetやCheck Pointなどのセキュリティベンダーも、自社製品のSBOM提供や、SBOMを活用した脆弱性管理ソリューションの強化を進めており、これらを活用することで管理負荷を軽減できます。また、レガシーシステムなどソースコードがない場合でも、バイナリ解析ツールを用いてSBOMを生成する技術も実用化されています。

まとめ

SBOMは「作って終わり」ではなく、脆弱性管理のスタート地点です。食品のアレルギー表示と同様に、ソフトウェアの「中身」を知ることは、安全な利用の大前提となります。サプライチェーン全体の透明性を高めるため、自社が提供する側としても、利用する側としても、SBOMの運用体制を早期に確立することが求められます。PSIでは、SBOM導入に向けたツール選定やプロセス設計、脆弱性管理プラットフォームとの連携支援を通じて、サプライチェーンセキュリティの強化をご支援いたします。

会社概要

社名：株式会社ピーエスアイ（PSI）
所在地：〒160-0022 東京都新宿区新宿5丁目5-3 建成新宿ビル4階
設立：1994年
TEL：03-3357-9980
FAX：03-5360-4488
URL：https://www.psi.co.jp
事業内容：サイバーセキュリティ製品の販売および導入支援、運用サポート、ITコンサルティング

報道関係者様からのお問合せ先

株式会社ピーエスアイ
広報担当：内藤
電話番号：（03）3357-9980
Eメールアドレス：psi-press@psi.co.jp