ビジョナルは12月14日、従業員500人以上の企業の情報システム部門担当者300人を対象に実施したセキュリティに関する調査の結果を発表した。その中でソフトウェア部品表(SBOM)の認知率は41.3%に上り、認知している回答者の7割以上が導入済み、あるいは導入する意向であることが分かった。
同社は、転職サービス「ビズリーチ」などをグループで手掛け、プロダクトのセキュリティ対策のノウハウをもとにした脆弱(ぜいじゃく)性管理サービス「yamory」を提供している。今回の調査はその一環になる。
SBOMは、製造業の製品管理に用いられる部品表のノウハウをコンピューターソフトウェア製品に応用し、ソフトウェア製品で使用されているライブラリーやコンポーネントなどの情報(名称やバージョンなど)を取りまとめたものになる。近年は、ライブラリーやコンポーネントなどの脆弱性を悪用するサイバー攻撃の被害が拡大していることから、ソフトウェアベンダーが迅速に脆弱性対策を実施できるよう、米国政府を中心にSBOMの整備をソフトウェアベンダーに要請する動きが進む。国内でも経済産業省などがガイドラインを公開している。
ビジョナルの調査によると、SBOMの認知度は「良く理解している」が6.0%、「多少は理解している」が18.0%、「聞いたことがある程度」が17.3%、「知らない」が58.7%だった。
SBOM認知者(124人)の対応状況では、「導入済み」が33.1%、「導入に向けて検証中」が22.5%、「導入に向けた具体的なアクションはしていないが、今後導入予定である」が18.5%で、7割以上が導入済みか、今後導入する意向であることが判明した。
導入済み、今後導入する意向のある回答者(92人)のSBOM採用の理由では、「自社セキュリティ対策向上の一環として」が72.8%で最も多く、以下は「ガイドラインや法令などが定められているため」(51.1%)、「取引先から求められたため」(19.6%)、「同業他社が実施しているため」(7.6%)だった。
SBOM導入予定者(51人)の導入時期は、「1~3年以内」が43.1%、「1年以内」が27.5%、「半年以内」が7.8%などで、SBOMの整備を迅速に推進する意向が目立っている。