SBOM #

現代のソフトウェア開発では、複数のモジュールやシステムを組み合わせた構成が一般的です。そのため、システムで使用されているモジュールやライブラリ、フレームワークなどのソフトウェア依存関係を完全に把握するのは難しくなっています。

このような課題を解決する手法として、SBOM（Software Bill of Materials）を用いた管理手法が注目されています。SBOMとは、ソフトウェア製品に含まれるコンポーネント(部品)をリスト化したもので、ソフトウェアのコンポーネント一覧表を指します。実際には、SBOMに対応したリストを作成でき、SBOMの管理を行えるツールを使用して管理を行います。

SBOMを導入することで、新たな脆弱性が公表された際に、その影響を受けるソフトウェアを即座に特定できるようになります。これにより、脆弱性の管理だけでなく、ライセンス違反やサポート期限が切れたソフトウェアの確認にも活用できます。

また、経済産業省により「ソフトウェア管理に向けたSBOM（Software Bill of Materials）の導入に関する手引ver2.0」が公開されており、注目されているSBOMですが、脆弱性管理やライセンス管理のメリットがある一方で、完全に解決できない課題やSBOMを運用する上での課題もあります。

SBOM導入のメリット

• ソフトウェアコンポーネント管理の効率化・自動化、管理工数の削減
• 新たな脆弱性が発見された際に影響を受けるソフトウェアに含まれるコンポーネントの特定、特定までの時間短縮
• OSSなどのライセンス情報の管理
• EoS(End of Support)、EoL(End of Life)の管理

SBOM導入に関する課題

• SBOMの管理対象とするコンポーネントの範囲が不明確だと、効果的な活用ができない
• SBOMを導入すための環境整備や学習に工数を要する
• コンポーネントの検知漏れや誤検知
• SBOM出力結果の精査に多くの工数が掛かる