経産省は「ソフトウェア管理に向けたSBOM導入に関する手引ver2.0(案)」の意見公募を発表した。新ガイドラインはver1.0での課題解決が取り組まれている。
この記事は会員限定です。会員登録すると全てご覧いただけます。
経済産業省(以下、経産省)は2024年5月1日、企業がソフトウェアの脆弱(ぜいじゃく)性管理をより効果的に実施するための「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引ver2.0(案)」の意見公募を開始すると発表した。意見募集期間は2024年4月26日〜5月27日までだという。
この手引は2023年に発表されたver1.0に基づいて改訂され、ソフトウェアサプライチェーンの複雑化に対応するための詳細な指針を提供するものとされている。
この手引はソフトウェアを供給する企業と調達する企業の双方を読者として想定しており、2023年7月に公表された「ソフトウェア管理に向けたSBOMの導入に関する手引ver1.0」に次の内容が追加される。
企業においてOSS(オープンソースソフトウェア)を含むソフトウェアの利用が広がっている。産業に占めるソフトウェアの重要性が高まる一方で、ソフトウェアの脆弱性を突いたサイバー攻撃が企業経営に大きな影響を与えるなど、ソフトウェアに対する脅威が増大している。
これに対応するために自社で使用しているソフトウェアを適切に管理することが重要だが、ソフトウェアサプライチェーンが複雑化したりOSSの利用が一般化したりする中で、自社製品において利用するソフトウェアであっても、コンポーネントとしてどのようなソフトウェアが含まれているのかを把握することが困難であり、課題になっている。
こうしたソフトウェアの脆弱性管理に関してソフトウェアの開発組織と利用組織双方の課題を解決する手法の一つとしてSBOMを使った管理手法が注目されるようになった。
経産省は2023年7月、企業がSBOMの導入を検討する際に活用できるよう、SBOMの基本的な情報や導入に向けた実施事項、認識しておくべきポイントを整理した「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引ver1.0」を公表した。
今回のver2.0はver1.0で明らかになった課題などを解決し、産業界におけるSBOMの活用をさらに促すことを目的としている。
Copyright © ITmedia, Inc. All Rights Reserved.