KDDIなど5社がSBOM導入に向けた実証事業を開始 ガイドライン案を整備

5GやLTEネットワーク機器のセキュリティ強化を目指し、KDDI、KDDI総合研究所、富士通、NEC、三菱総合研究所がソフトウェア部品表（SBOM）の導入に向けた実証事業を開始した。

[後藤大地，有限会社オングス]

　KDDIとKDDI総合研究所、富士通、NEC、三菱総合研究所の5社は、5GやLTEネットワーク機器などのサイバーセキュリティ強化を目指し、ソフトウェア部品表（SBOM）の導入に向けた実証事業を開始すると発表した。

　同事業では国内外の動向調査や通信分野へのSBOM導入ガイドライン案の検討、通信機器に対するSBOMの作成と課題整理、SBOMの精度評価を実施する。

サイバーセキュリティの強化を目的に通信分野へのSBOM導入に向けた実証事業に着手｜KDDI総合研究所（出典：KDDIのWebサイト）

KDDIなど5社がSBOM導入に向けた実証事業を開始

　通信システムに求められる機能は高度化、多様化が進んでいる。通信システムにおける基幹システムはソフトウェア部品の単純な組み合わせから、オープンソースソフトウェア（OSS）などのソフトウェア部品を含む複雑な組み合わせへと変化している。

　これが脆弱（ぜいじゃく）なセキュリティを招く原因にもなっている。脅威アクターはOSSを含むソフトウェア部品に対してサイバー攻撃を仕掛けており、通信システムにおいてもリスクが顕在化している。

　対策として、ソフトウェア部品の脆弱性情報を収集、提供しているサービスを活用する方法もあるが、通信システムで使われているソフトウェア部品を把握できていなければ、既存のサービスを活用することは困難だ。この課題に対応するためにSBOMの重要性が急速に高まっている。

　5社は2023年7月31日のキックオフミーティングを開催後、SBOMの技術面および運用面の課題に関する調査を本格的に開始する。同事業では、以下の項目に関して調査および検討が実施される。

• 国内外の動向調査や通信分野へのSBOMの導入に向けたガイドライン案の検討。国内外の行政機関や民間団体などによるSBOMに関係した取り組みや既存ガイドラインを調査し、通信機器および当該機器のSBOMを作成、活用するためのガイドライン案を検討する
• 通信機器に対するSBOMの作成と課題整理。本事業を通じて通信事業者が実際に運用している設備の一部を対象としてSBOMを作成する
• 通信機器に対するSBOMの精度評価。作成したSBOMとツールで作成したSBOMの比較評価を実施し、精度評価や通信分野において着目すべき項目について分析することでSBOMの導入に向けた課題を整理する

　同事業はKDDIが総務省から受託した「通信分野におけるSBOMの導入に向けた調査の請負」を受けて取り組むものとされている。