会員番号 2782 大谷英徳(近畿支部)
1.テーマ 『製造業におけるBOMの原点と、今後の期待』
2.講師 早稲田大学 研究院
グローバルソフトウェアエンジニアリング研究所 招聘研究員
一般社団法人 日本ITストラテジスト協会 理事
外資系ITベンダー勤務(シニアプロジェクトマネジャー)
安藤秀樹 様
3.開催日時 2025年3月15日(金) 14:30~16:30
4.開催場所 ドーンセンター5階セミナー室1、オンライン視聴(Zoom)
5.講演概要
2021年5月に米国で発行された「サイバーセキュリティ向上を目的とした大
統領令」が起点となって、深刻化するセキュリティリスクへの対策として、ソフ
トウェアの脆弱性を管理できるものとして、SBOM(Software BOM)の普及が進み
つつある。今回の定例研究会ではSBOMおよびその考え方のベースとなる
BOM(Bill of Materials)について、ご講演をいただいた。
(1)SBOMとは
SBOM(Software Bill Of Materials:ソフトウェア部品表)とは、あるソフトウエアに含まれるすべてのソフトウェアコンポーネント、ライセンス、親子関係を一覧化したものである。SBOMは、ソフトウェアのサプライチェーンを可視化することに役立ち、ライセンス、セキュリティ、品質に関するリスクを明らかにするものである。経済産業省はSBOMの導入が進むことで開発生産性向上に加えてサイバーセキュリティ能力向上につながると期待し、「ソフトウエア管理に向けたSBOM(Software Bill Of Materials)の導入に関する手引」(2023年7月23日)を策定した。
(2)BOMとは
SBOMの考え方のベースとなるBOM(部品表・部品構成表)とは、「Bill Of
Materials」の略で、製品を造るのに必要な部品情報を一覧にし、製品の製造に関する重要な情報について端的に示したものである。BOMは品目情報であるPNと構成情報であるPSにて構成されている。BOMにおいてはオーファン(親子の構造があるべきなのに親がない「みなしご」)、ファントム(削除されているのに生きているかのように見える「幽霊」)が生じないよう部品改廃や更新管理が重要である。BOMは製造過程のみならず、製造後部品にリコールが生じた場合においては、逆展開を行い、その部品が使われている製品の特定を行うなどでも用いられる。製造業では導入される業種や用途によって、「設計BOM」「製造BOM」「販売BOM」「購買BOM」「サービスBOM」に分類されている。
(3)SBOMへの期待
ひとつは透明性の確保が期待できる。近年ソフトウェアの課題は、多くのOSSを組み込んで構成されており、これらのコンポーネントの管理が複雑化しており、SBOMは、これら外部情報を一元的に把握が可能である。SBOMを利用することで、コンポーネントごとのバージョンやライセンス情報、SBOM作成者、各コンポーネントの出所(上流に位置するベンダーに遡って)や状態を明確に把握でき、ソフトウェア全体の透明性を確保できる。加えてソフトウェアの追跡可能性(トレーサビリティ)を向上させる効果も期待できる。コンポーネントに不具合や脆弱性が発見された場合、SBOMによって各コンポーネントの親子関係が可視化されているため、サプライチェーン全体への影響を迅速に確認することが可能となる。このようなことからSBOMについて国内外で重要性は高まっており導入する企業は今後さらに増加すると見られる。
6.所感
ソフトウエアのコンポーネント管理はハードウェアの部品管理と異なり、直接目で確認できない点が大きな特徴の一つであると思われる。そうであるが故にSBOMを使って可視化することは管理の堅確性確保やセキュリティ対策に重要であることを、本講演を通じて理解した。システム監査人として、監査対象システムのソフトウエア管理状況、セキュリティ対策の査閲を行う際に、SBOM導入の有無、導入システムについてはその管理状況、メンテナンス態勢およびSBOMの利活用について、十分な知見をもって監査に臨むことは、システム監査の品質向上に必須であると認識した次第である。
以上