2024年8月29日に、経済産業省より「ソフトウェア部品表」(Software Bill of Materials、以下SBOM)導入のポイントをまとめた「ソフトウェア管理に向けたSBOMの導入に関する手引ver 2.0」が正式に公表されました。Ver 1.0が2023年7月に公開されており、SBOMに関する基本的な情報や誤解と事実、企業のSBOM導入を支援するために、SBOM導入に向けた主な実施事項および認識しておくべきポイントが示されています。
今回公開されたVer 2.0では、上記に加え、ソフトウェアの脆弱(ぜいじゃく)性を管理する一連プロセスにおいて、SBOMを効果的に活用するための具体的な手順と考え方、SBOM導入の効果およびコストを勘案してSBOMを導入することが妥当な範囲を検討するためのフレームワーク、ソフトウェアの受発注において、調達者と供給者の間でSBOMに関して契約に規定すべき事項(要求事項、責任、コスト負担、権利など)についての参考例などが示されています。SBOMの基本的な知識のみならず、SBOM対応の課題や具体例など、“応用編”ともいえるものになっています。
今回は、Ver 1.0から引き続き掲載されている1~6章の概要を簡単におさらいしつつ、Ver 2.0で追加されたポイントや現実的な対応について解説します。
1~2章:背景と目的/SBOMの概要
1章と2章では、オープンソースソフトウェア(OSS)の利用が一般化する中で、ソフトウェアにおける脆弱性管理やライセンス管理の重要性が非常に高まっていること、ソフトウェアサプライチェーンが複雑化する中でソフトウェア管理の課題としてSBOM活用に注目が集まっていることを挙げ、その概要について詳しく紹介しています。
また、SBOM導入のメリットとして、脆弱性対応期間の短縮や管理にかかるコストの低減などの「脆弱性管理のメリット」「ライセンス管理のメリット」「開発生産性向上のメリット」を挙げており、特に脆弱性が発覚してから対応完了までの時間を大きく短縮できる点が最も大きなメリットであることが挙げられています。
なお、SBOMの「最小要素」に関しても解説しており、データフィールドのカテゴリーでは、SBOMの対象となるコンポーネントを一意に特定するための情報を含めることが「最小要素」として位置付けられています。
