経産省、SBOM導入手引のバージョン2.0に関する意見公募を開始：セキュリティニュースアラート

経産省は「ソフトウェア管理に向けたSBOM導入に関する手引ver2.0（案）」の意見公募を発表した。新ガイドラインはver1.0での課題解決が取り組まれている。

[後藤大地，有限会社オングス]

　経済産業省（以下、経産省）は2024年5月1日、企業がソフトウェアの脆弱（ぜいじゃく）性管理をより効果的に実施するための「ソフトウェア管理に向けたSBOM（Software Bill of Materials）の導入に関する手引ver2.0（案）」の意見公募を開始すると発表した。意見募集期間は2024年4月26日〜5月27日までだという。

　この手引は2023年に発表されたver1.0に基づいて改訂され、ソフトウェアサプライチェーンの複雑化に対応するための詳細な指針を提供するものとされている。

SBOM活用の進化、経産省がver2.0手引の意見公募を発表

　この手引はソフトウェアを供給する企業と調達する企業の双方を読者として想定しており、2023年7月に公表された「ソフトウェア管理に向けたSBOMの導入に関する手引ver1.0」に次の内容が追加される。

• 脆弱性管理プロセスの具体化（第7章）：　SBOMを活用することでソフトウェアの脆弱性管理を通じたリスクの低減が効果として見込まれる。SBOMを活用するプロセスの中でも脆弱性管理に関するフェーズは特に重要だ。本章でソフトウェアの脆弱性を管理する一連プロセスにおいてSBOMを効果的に活用するための具体的な手順と考え方をまとめ、SBOM活用による効果を高めるための参考情報を提供する
• 「SBOM対応モデル」の追加（8.付録）：　同モデルでSBOM導入の効果およびコストを勘案して実際にSBOMを導入することが妥当な範囲を検討するためのフレームワークを示す。当該フレームワークを利用することで高度な管理が可能なソフトウェア（セキュアなソフトウェア）が市場で適切に評価され、その流通が促進されることが期待できる
• 「SBOM取引モデル」の追加（9.付録）：　同モデルでソフトウェア部品の受発注における調達者と供給者の間でSBOMに関する契約に規定すべき事項（要求事項や責任、コスト負担、権利など）について参考となる例を示す

　企業においてOSS（オープンソースソフトウェア）を含むソフトウェアの利用が広がっている。産業に占めるソフトウェアの重要性が高まる一方で、ソフトウェアの脆弱性を突いたサイバー攻撃が企業経営に大きな影響を与えるなど、ソフトウェアに対する脅威が増大している。

　これに対応するために自社で使用しているソフトウェアを適切に管理することが重要だが、ソフトウェアサプライチェーンが複雑化したりOSSの利用が一般化したりする中で、自社製品において利用するソフトウェアであっても、コンポーネントとしてどのようなソフトウェアが含まれているのかを把握することが困難であり、課題になっている。

　こうしたソフトウェアの脆弱性管理に関してソフトウェアの開発組織と利用組織双方の課題を解決する手法の一つとしてSBOMを使った管理手法が注目されるようになった。

　経産省は2023年7月、企業がSBOMの導入を検討する際に活用できるよう、SBOMの基本的な情報や導入に向けた実施事項、認識しておくべきポイントを整理した「ソフトウェア管理に向けたSBOM（Software Bill of Materials）の導入に関する手引ver1.0」を公表した。

　今回のver2.0はver1.0で明らかになった課題などを解決し、産業界におけるSBOMの活用をさらに促すことを目的としている。