OSSを使うならSBOM対応は欠かせない HISOLが「SBOM管理サービス」を開始

日立ソリューションズは「SBOM管理サービス」を開始した。SBOMを一元管理し、各種リスクの検知と対応、ベストプラクティスの適用や情報分析・活用を実現する。

» 2023年12月20日 12時05分 公開
[田渕聖人ITmedia]

この記事は会員限定です。会員登録すると全てご覧いただけます。

 日立ソリューションズは2023年12月13日、ソフトウェア部品表(以下、SBOM)を一元管理し、各種リスクの検知と対応、ベストプラクティスの適用や情報分析・活用を実現するプラットフォーム「SBOM管理サービス」の販売を開始した。

 同社は2023年12月12日に記者発表会を開催し、SBOMが注目を集める背景や国内外の動向、SBOM管理サービスの概要や詳細について説明した。

OSSを使うならSBOM対応は欠かせないものになる

 自動車や通信、医療、社会インフラなどさまざまな業界の製品自動車や通信、医療、社会インフラなどさまざまな業界の製品・サービス開発において、利便性の高いオープンソースソフトウェア(OSS)は欠かせないものになっている。

日立ソリューションズの渡邊 歩氏(ITプラットフォーム事業部 デジタルアクセラレーション本部 シニアOSSスペシャリスト)

 日立ソリューションズの渡邊 歩氏(ITプラットフォーム事業部 デジタルアクセラレーション本部 シニアOSSスペシャリスト)は「今や1つの製品で数百〜数万個のOSSを使用していることもある他、あるOSSが別のOSSを内包して利用しているケースなど、構成は多段階かつ複雑化し、ブラックボックスとなっている。そのため1つの製品の中にどのOSSがどのような構成で使われているかを把握するのは非常に困難だ」と話す。

 渡邊氏によると、OSSがブラックボックスとなることで脆弱(ぜいじゃく)性やOSSのライセンス違反、地政学的リスク、プロテストウェアといったリスクが生まれてしまうという。また、近年特に注目すべきリスクがソフトウェアのサプライチェーンを狙ったサイバー攻撃だ。コンポーネントを把握せずに脆弱性が含まれているOSSを意図せずに利用すると、サイバー攻撃侵入の糸口となってしまう可能性がある。

OSSがブラックボックス化することで生まれるリスク(出典:日立ソリューションズの発表資料)

 これに対応するための手段として注目が集まっているのがSBOMだ。SBOMは製品やサービスに含まれるソフトウェアを構成するOSSや商用ソフトウェアなどの情報をまとめたものだ。コンポーネントの名称やバージョン、依存関係など複数の要素を一覧化する。

SBOMでソフトウェア構成を可視化することでリスクの見える化が進む(出典:日立ソリューションズの発表資料)

 日本はSBOMを国際標準戦略の一つに位置付けており、SBOMに関する知見の整備や取引モデルのツール整備などが進められている。経済産業省は2023年7月に「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引」を策定し、ソフトウェアサプライヤー向けにSBOMを導入するメリットや導入のポイントをまとめている。

 日本以外でも2021年に米国で発令された、サイバーセキュリティ改善に関する大統領令では、政府機関に納品するソフトウェアについて原則としてSBOMの作成と提供を要請しており、欧州連合(EU)では、販売される全てのデジタル製品にSBOMを活用したセキュリティ対策を義務付ける「サイバーレジリエンス法」が2025年に施行される見込みだ。現在は、自動車業界や医療業界などでSBOM対応が先行しているが、今後この取り組みはより促進されるとみられる。

SBOM管理サービスの2つの特徴

 このように注目を集めるSBOMだが、導入する上で「何からすればいいのか分からない」「SBOMを一元管理したい」「SBOM管理を自動化したい」などの課題が挙がることが多い。これを解消するのが今回発表されたSBOM管理サービスだ。

SBOM管理サービスの概要(出典:日立ソリューションズの発表資料)

 SBOM管理サービスの特徴は以下の通りだ。

1.さまざまな形式のSBOMをサプライチェーン内で共有し、迅速な意思決定とセキュリティを確保

 企業が取り扱うSBOMには、自社で作成したものやサプライヤーから提供されたものなど、複数の標準フォーマットがある他、SBOM生成ツールごとの特性による差分などの影響で一元管理することが難しいという課題がある。SBOM管理サービスは、異なるツールで作成したさまざまな形式のSBOMを、単一プラットフォームで一元管理する。この他、サプライチェーンを構成する企業間で情報共有できるため、SBOM情報や脆弱性情報の共有とスムーズな連携が可能になる。

2.製品やシステムの日々の脆弱性監視を自動化し、問題の検出時には詳細情報を通知

 システムを構成するソフトウェア部品の識別情報(CPE)とコンポーネントを自動でひもづけ、その情報を基にシステムに影響を及ぼす脆弱性を自動で検知する。これによってシステムに潜在する脆弱性情報の迅速な把握が可能になる。ユーザーが監視対象に設定したSBOMに問題が検出された場合は、脆弱性の詳細情報や影響度などの対応に必要な情報を通知する。

 渡邊氏は「今後も機能エンハンスを予定しており、ライセンス違反などのコンプライアンス対応やISO/IEC 5230などの国際標準の適用支援、PSIRTシステムとの連携など幅広い機能を追加する計画だ。これまでSBOMを使ってきている業界だけでなく、SBOM管理が今後重要になる金融や通信、航空業界にもターゲットを広げていきたいと考えている」と話した。

 SBOM管理サービスは年間サブスクリプション価格330万円で提供される。

Copyright © ITmedia, Inc. All Rights Reserved.