経済産業省、「ソフトウェア管理に向けたSBOM（Software Bill of Materials）の導入に関する手引」公開。環境構築、SBOM作成、運用管理など解説

経済産業省は「ソフトウェア管理に向けたSBOM（Software Bill of Materials）の導入に関する手引」を策定し公開したことを明らかにしました。

SBOMは日本語では「ソフトウェア部品表」とされます。あるソフトウェアがどのようなソフトウェア部品によって構成されているのかを示す情報がまとまったデータのことです。

ほとんどのソフトウェアは単独で成立しているわけではなく、オープンソースを始めとする多数のライブラリやコンポーネントなどのソフトウェア部品に依存しています。そのなかのいずれかに脆弱性が発見されればドミノ倒しのように他のさまざまなソフトウェアに影響することは必至です。

例えば2021年末に発覚したJavaライブラリ「Log4j」の脆弱性は、非常に幅広いJavaのソフトウェアに深刻な影響を与えました。

多くの産業や社会インフラにおいてソフトウェアの存在が欠かせなくなっている現在、ソフトウェアのセキュリティを確保する上で、ソフトウェアがどのようなソフトウェア部品で構成されているのかを管理できるようにすることは課題となっていました。

その解決手法の1つとして注目されているのがSBOMです。

米国では大統領令でSBOMを推進

経済産業省によると、米国では大統領令に基づき連邦政府機関におけるSBOMを含めたソフトウェアサプライチェーンセキュリティ対策の強化に向けた動きが進展しています。

QUAD （日米豪印戦略対話）では、政府調達ソフトウェアのセキュリティ確保に向け、ソフトウェアの安全な開発・調達・運用に関する方針を示した共同原則が発表されており、SBOMを含めたソフトウェアコンポーネントの詳細情報やサプライチェーン情報を適切に管理することが掲げられています。

こうした背景において、経済産業省は「産業サイバーセキュリティ研究会ワーキンググループ1（制度・技術・標準化）サイバー・フィジカル・セキュリティ確保に向けたソフトウェア管理手法等検討タスクフォース」を設置し、有識者や様々な分野の業界団体関係者を交えながら、SBOMの利活用等について実証や議論を行い、主にソフトウェアサプライヤー向けとして「ソフトウェア管理に向けたSBOM（Software Bill of Materials）の導入に関する手引」を策定したと説明されています。

経済産業省によるこれらの資料の作成と公開は、同省が国内においてSBOMの利用を促進したいとの考えを反映したものと見られます。

今後は国内でも、政府調達や重要な社会インフラに関わるソフトウェア、大手企業によるソフトウェアの調達などからSBOMの導入が開始されていくのではないでしょうか。

SBOMのメリットや導入方法など

手引の内容として、SBOMを導入するメリットやSBOMに関する誤解と事実などSBOMに関する基本的な情報が提供されているだけでなく、SBOMを実際に導入するにあたって認識・実施すべきポイントを以下の3つのフェーズに分けて解説されています。

（1）環境構築・体制整備フェーズ
（2）SBOM作成・共有フェーズ
（3）SBOM運用・管理フェーズ

想定読者は主に、パッケージソフトウェアや組込みソフトウェアに関するソフトウェアサプライヤーです。

そして、ソフトウェアにおける脆弱性管理に課題を抱えている組織や、SBOMという用語やSBOM導入の必要性は認識しているもののその具体的なメリットや導入方法を把握できていない組織などにとって、ソフトウェアの管理の一手法としてSBOMの導入等を検討する際に役に立つ手引となっていると説明されています。

下記が公開された手引きと関連資料です。

ソフトウェア管理に向けたSBOMの導入に関する手引 Ver1.0（PDF）

「ソフトウェア管理に向けたSBOMの導入に関する手引」 概要資料（PDF）

「ソフトウェア管理に向けたSBOMの導入に関する手引」付録 チェックリスト（xlsx）