NTTテクノクロス、SBOM導入・運用支援のコンサルティングサービスを発表：セキュリティソリューション

NTTテクノクロスはソフトウェアの脆弱性管理に役立つSBOMの導入と運用を支援するコンサルティングサービスを開始する。このサービスはSBOMの作成支援や脆弱性情報の管理支援が含まれている。

[後藤大地，有限会社オングス]

　NTTテクノクロスは2024年3月26日、ソフトウェア製品に含まれるコンポーネントを一覧にしたソフトウェア部品表（以下、SBOM）の導入や運用をサポートするコンサルティングサービスを同年4月下旬から提供開始すると発表した。

SBOMの導入から運用までをワンストップで支援

　SBOMはソフトウェア製品に含まれる全てのコンポーネントのリストを指す。オープンソースソフトウェア（以下、OSS）やサードパーティー製のコンポーネント、ライブラリ、依存関係などが記載される。

　ソフトウェアに含まれるライブラリのバージョンを統一されたフォーマットで管理し、何らかの“部品”に脆弱（ぜいじゃく）性が見つかった場合には自社内でどのシステムが影響を受けるかなど透明性を確保できる。

　NTTテクノクロスのコンサルティングサービスの主な内容は以下の通りだ。

• SBOM導入支援：　SBOM作成ツールの調査や選定、ソースコード・バイナリーコードからSBOMの作成を代行、支援する
• SBOM運用支援：　SBOMを可視化し、構成情報や脆弱性管理を実施するための環境を構築し、検出された脆弱性の影響範囲の特定や対処方法など、運用を支援する

SBOMの可視化によるメリット（出典：NTTテクノクロスのプレスリリース）

　ソフトウェアで使用されるOSSの脆弱性を狙ったサプライチェーン攻撃が増加している。米国では「サイバーセキュリティ強化のための大統領令」においてSBOMの作成や脆弱性対策を義務付ける条項が付加され、日本でも経済産業省によって「SBOMの導入に関する手引」が発表されるなど、SBOMの導入はセキュリティ対策の強化策として捉えられている。今回のサービスはこうした背景から発表されたものだ。

　NTTテクノクロスは今後、データ匿名化やセキュリティ診断、情報セキュリティポリシー策定などのセキュリティに関するコンサルティングメニューの拡充を図る他、SBOMに関する製品開発を進める予定だ。