ベリサーブ、ソフトウェアサプライチェーン管理パッケージ「SBOM.JP」発表

米国では、大統領令にSBOMが盛り込まれているなど、国がSBOMの利用を主導している。ヨーロッパでも同様に、サイバーセキュリティに関する法令「NIS2指令」が施行され、同法でSBOMの導入が奨励されている。こうした欧米の状況に対し、日本は強制力のある法規制が存在しないのが現状だ。

また、業界別では、自動車と医療においてSBOMの利用が進んでいるという。例えば、自動車の電気電子システムにおけるサイバーセキュリティリスク管理のエンジニアリング要件を定めた国際標準規格「ISO/SAE 21434」では、SBOMへの直接的な言及はないが、実運用では、SBOMを活用することが前提になると考えられていとのことだ。また、厚生労働省が発行した「医療機器のサイバーセキュリティ導入に関する手引書」では、SBOMの活用について言及している。
サプライチェーンにおける脆弱性管理の課題を解決

最後に、ベリサーブ サイバーセキュリティ事業部 技術開発課 平山昌弘氏が「SBOM.JP」の特徴を紹介した。平山氏は、脆弱性管理の課題として、「サプライチェーンのSBOM管理」「SBOMのバージョン管理」「脆弱性の影響範囲」「コンポーネントと脆弱性のマッチング」を挙げ、同製品がこれら課題を解決すると述べた。

平山氏は競合製品とは異なる「SBOM.JP」のユニークな点について、「経済産業省のSBOM導入の手引きの3つのフェーズのうち、フェーズ2をカバーする製品が多いが、SBOM.JPはフェーズ3に焦点を置いている」と説明した。同製品では、自社で作成したSBOMに加え、同一サプライチェーン上のサプライヤーから提供されたSBOMを集約し、すべてのSBOMについて、バージョンと脆弱性を管理する。

さらに、平山氏は「SBOM.JP」の特徴として、以下を挙げた。これらの特徴により、サプライチェーンにおける脆弱性管理のさまざまな課題を解決する。

サプライチェーンにおける脆弱性管理のユースケースに基づいた機能を装備
生成AIを用いたコンポ―ネントと脆弱性のマッチングを自動化
ユーザーの既存システムとの連携を考慮し、すべての機能をAPI化
（今林敏子）