ベリサーブ、ソフトウェアサプライチェーン管理パッケージ「SBOM.JP」発表

加えて、OSSはバージョンによって保守・サポート終了の期間が異なるので、対応も変える必要がある。猪俣教授は、「OSSを利用する際は、現在利用いるバージョン、脆弱性対応などについて記録することが大事」と述べた。

こうしたソフトウェアの「経歴書」とも言える存在がSBOMといえる。経済産業省は8月29日、「ソフトウェア管理に向けたSBOM（Software Bill of Materials）の導入に関する手引ver2.0」を公開した。Ver2.0では、「脆弱性管理プロセスの具体化」、「SBOM対応モデル」、「SBOM取引モデル」が追加された。

猪俣教授はVer2.0について、「SBOMをどう使うかが見えなかった点で、Ver1.0が弱かった。Ver2.0では、脆弱性をどう管理すべきかなど、具体化されている」と評価していた。注目すべき点としては、ケーススタディが掲載されていることを挙げていた。

なお、欧米ではSBOMの導入が進んでいるため、猪俣教授は、欧米の動向をキャッチアップすることが重要と述べた。米国CISAが今年2月に開催した　SBOM-a-ramaというイベントが参考になるという。

そして、猪俣教授は「SBOMは単なる技術情報ではなく、品質保証書のようなもの」と、SBOMの重要性を訴えた。例えば、バイデン政権のサイバー大統領令では、連邦政府に製品を販売する組織に対して、SBOM公開を求めている。また、サプライチェーン攻撃への対策として、ソフトウェアの調達や導入において、SBOMを要求する企業・組織が増加している。

最後に、猪俣教授は「SBOMは技術屋だけが知っていればよい話ではない。人が前提であることを忘れてはならない」と語り、企業全体で取り組む重要性を強調した。
自動車と医療で進むSBOMの利用

続いて、ベリサーブ サイバーセキュリティ事業部 脆弱性マネジメント課　藤原洋平氏が「国内外のSBOM動向」について説明した。同氏は、SBOMを利用するメリットについて、「サプライチェーンにおけるセキュリティ対策に役立ち、脆弱性の対応完了までの期間を短縮する」と述べた。

藤原氏は、ここにきてSBOMの注目度が高まっている背景について、「米国のバイデン大統領が2021年に大統領令に署名したこと、サプライチェーンの弱点を突いたサイバー攻撃が増加していることなどがある。IPAが毎年発表している10大セキュリティでもサプライチェーンのリスクが指摘されている」と説明した。