資料の紹介
サイバー攻撃がWebサービス、組み込み機器などに広がり、企業の事業継続性や社会インフラの安全性を揺るがしている。最近のソフトウエアは、少なからずオープンソースソフトウエア(OSS)や外部コンポーネントを組み込んでおり、脆弱性が見つかったら迅速に修正しなければならないが、開発者でさえその全貌を把握していないことがある。
そこで役立てたいのが「SBOM(ソフトウエア部品表)」だ。ソフトウエアに含まれるライブラリやコンポーネントについて、名称や依存関係などを一覧化する仕組みで、OSSなどに脆弱性が発見された際に影響範囲を迅速に特定できる。OSSのライセンス違反やサポート終了時期も早期に把握可能だ。
本資料では、SBOMの基本や管理ツールの機能についてわかりやすく解説する。注目すべき理由を、3大リスク(セキュリティ/コンプライアンス/事業継続)対応と、2025年に成立した能動的サイバー防御関連法など国内外の法整備・規制への対応の2つに整理して説明。さらに、SBOMの自動生成からリスクの検出・評価、対応策の提案までの機能を備えたSBOM管理ツールを紹介する。システム開発、組み込みソフト開発に関わる担当者は知っておきたい。
