2024年9月15日
労務・人事ニュース
企業向け脆弱性管理の新しいガイドライン!SBOMを活用したソフトウェア部品表の導入手順を解説する改訂版手引が公開
サイバー攻撃への備えを!「SBOM」(ソフトウェア部品構成表)を活用してソフトウェアの脆弱性を管理する具体的手法についての改訂手引を策定しました(経産省)
2024年8月29日、経済産業省は、サイバーセキュリティ対策の一環として、ソフトウェアの脆弱性管理に役立つ「ソフトウェア部品表」(SBOM: Software Bill of Materials)を活用する具体的な手法を盛り込んだ改訂版手引を公表しました。この手引は、ソフトウェアを供給する企業と調達する企業の双方を対象としており、ソフトウェアの安全性を確保するために必要なステップを明確にすることを目的としています。
背景として、近年のソフトウェアにおける脆弱性問題が深刻化していることが挙げられます。サイバー攻撃のリスクが高まる中で、ソフトウェアの製造・使用の過程で脆弱性を適切に管理することが不可欠となっています。これに対応するため、ソフトウェアの構成要素を明確にし、その管理を強化する手法としてSBOMが注目されてきました。SBOMは、ソフトウェアがどのような部品で構成されているかを示すもので、脆弱性管理を効率化するツールとして位置づけられています。
今回の改訂版手引では、ソフトウェアの脆弱性管理プロセスを具体化し、SBOMの活用方法を詳細に解説しています。特に、脆弱性リスクを低減するための手順や考え方をまとめた内容は、企業が実際にSBOMを導入し、その効果を最大限に引き出すための貴重な指針となります。また、SBOMの導入にかかるコストと効果を考慮し、導入範囲を検討するためのフレームワークも提供されており、これにより企業は自社の状況に応じた最適な管理手法を選択することが可能です。
さらに、ソフトウェアの受発注に関する「SBOM取引モデル」も新たに追加され、契約において規定すべき具体的な項目(要求事項、責任、コスト負担、権利等)が示されています。これにより、供給者と調達者の間での透明性が高まり、SBOMの導入がよりスムーズに行われることが期待されます。
この手引は、企業がSBOMを効果的に活用し、サイバー攻撃に対する防御力を高めるための実践的なガイドラインとして、多くの企業にとって不可欠なものとなるでしょう。特に、中小企業にとっては、リソースの限られた中でのセキュリティ対策の強化に役立つ具体的な手法が提供されている点が重要です。これにより、日本国内のソフトウェア産業全体のセキュリティレベルの向上が期待されます。
興味のある企業や関係者は、改訂版手引を参考にし、SBOMの導入を検討することを強く推奨します。今後のサイバーセキュリティにおける重要な一歩となるでしょう。
⇒ 詳しくは経済産業省のWEBサイトへ