国内のSBOM市場調査の結果を発表
前向きに取り組む企業が多い中で、実現にはツールの課題も
・米国で大統領令が発令され、日本でも経済産業省が利用を推奨するなど、注目が集まりつつあるSBOM*に関する調査を実施 ・2023年2月に調査を実施、大企業・官公庁・自治体のIT管理者、経営企画部門など主に大企業のIT管理者と担当者 651件の有効回答 ・SBOMの認知度は75%に上り、7割前後が国内外の動向を認知 ・SBOM導入済みの企業は14%だが、導入・構築を検討中の企業を含むと6割が前向きな取り組みを実施 ・実際のSBOM管理には、詳細の把握や網羅的な把握に課題があり、ツールの進化が期待されている |
業界唯一の統合型エンドポイント管理(XEM)(*1)プラットフォームのプロバイダであるタニウム合同会社(以下タニウム)は、国内におけるサイSBOM市場調査の結果を発表した。本調査の結果から、SBOMの認知度は高まっているものの、管理を実践できている企業はまだ少なく、そのためのツールの不足や、対応が俗人的になっているなどの課題があることが明らかになった。また企業の関心は、ビルドSBOMと言われる開発環境におけるSBOMではなく、既存環境に展開されているアプリケーションのSBOMにあることも判明している。
2020年12月に発覚した、過去最大級のソフトウェアサプライチェーン攻撃となったソーラーウィンズ事件を発端に、米国では政府が所有するソフトウェア製品のSBOMを作成し第三者提供することを義務付ける大統領令が発令(*2)されるなど、世界的にSBOMに関する注目が高まっている。日本においても、経済産業省がSBOMの利用を推奨しており、2023年3月にはSBOMの導入に関する手引(案)(*3)が公開された。タニウムは昨年に実施したサプライチェーンリスクに関する調査に引き続き、リスクの中でも特に注目の集まるSBOMに関して、国内における認知度や実践状況を把握するための調査を実施した。この調査では、国内大企業・官公庁・自治体のIT管理者に加え、経営企画部門、法務・コンプライアンス部門といったDX時代のサイバーセキュリティの意思決定者を対象にし、651件の有効回答数を得た。
主な調査結果は以下のとおり。
SBOMの認知度は75%に上り、7割前後が国内外の動向を認知
SBOMについて、主要な機能を含めて良く知っているという回答は32%、名前は知っていると回答した割合は43%と、全体の75%がSBOMを認知していることがわかった。また、米国の大統領令や経済産業省の取り組みに関しても、約7割が認知していると回答しており、国内においてもSBOMの関心が高まっていることが明らかになっている。
SBOM導入済みの企業は14%だが、導入・構築を検討中の企業を含むと6割が前向きな取り組みを実施
既にSBOMを導入していると回答した企業は14%と多くはないものの、「導入・構築の作業中」「導入・構築を検討中」の回答を含めると、全体の6割がSBOMに関して前向きな取り組みを行なっていることがわかった。また25%は、SBOMに関する情報を収集中と回答しており、まだ具体的な動きをとっていない企業においても、SBOMへの関心が高まっていることを表している。
SBOMの管理に関しては、詳細や網羅的な把握に課題
実際にSBOMを導入・運用するにあたっては、依存関係や内部構造など詳細を把握しきれないなどの課題も残されており、既存ツールとのデータ連携や対応ツールの増加など、ツールの進化が求められていることも判明している。
これ以外にもSBOMに関してさまざまな角度からの調査をまとめた結果について、詳細は資料でご確認が可能である。
今回の調査の結果から、国内においてもSBOMの関心や重要性が高まっていることがわかった。しかし、実際の管理には詳細把握が難しいなどの課題が残されており、企業のニーズに対応したツールの進化が求められている。タニウムは、SBOMから脆弱性管理までを一元的に管理可能なXEMプラットフォームの提供を通じて、ユーザーの環境を脅威から保護するためのご支援を続けていく。
◆国内SBOMの市場調査概要
・調査対象:大企業のIT管理者・担当者(有効回答数651件)
・調査方法:Webアンケート
・実施期間:2023年2月20日~2023年2月28日
◆調査結果の詳細は、以下で公開している。
* SBOM(Software Bill of Materials:エスボム)とは、ソフトウェアを構成するコンポーネントや互いの依存関係などをリスト化した一覧表。ライセンスコンプライアンス、セキュリティ、品質に関するリスクを可視化することができる。