METI 「ソフトウェア管理に向けたSBOMの導入に関する手引」を策定

2023.08.09

経済産業省は、ソフトウェアサプライチェーンが複雑化する中で、急激に脅威が増しているソフトウェアのセキュリティを確保するための管理手法の一つとして「SBOM」（（Software Bill of Materials）ソフトウェア部品表）に着目し、企業による利活用を推進するための検討を進めており、今般、主にソフトウェアサプライヤー向けに、SBOMを導入するメリットや実際に導入するにあたって認識・実施すべきポイントをまとめた手引書を策定した。
本手引の普及により企業におけるSBOMの導入が進むことで、ソフトウェアの脆弱性への対応に係る初動期間の短縮や管理コストの低減など、ソフトウェアの適切な管理が可能となり、企業における開発生産性が向上するだけでなく、産業界におけるサイバーセキュリティ能力の向上に繋がることが期待される。

1．背景・趣旨

近年、産業活動のサービス化に伴い、産業に占めるソフトウェアの重要性は高まっている。具体的には、産業機械や自動車等の制御にもソフトウェアの導入が進んでおり、また、IoT機器・サービスや5G技術においても、汎用的な機器でハードウェア・システムを構築した上で、ソフトウェアにより多様な機能を持たせることで、様々な付加価値を創出していくことが期待されているなど、企業においてOSSを含むソフトウェアの利用が広がっている。

このようにサイバー空間とフィジカル空間の融合が進む一方で、ソフトウェアの脆弱性が企業経営に大きな影響を及ぼすなど、ソフトウェアに対するセキュリティ脅威が増大している。このため、自社のセキュリティを強化するためにソフトウェアを適切に管理していくことが重要になるが、ソフトウェアサプライチェーンが複雑化し、OSSの利用が一般化する中で、自社製品において利用するソフトウェアであっても、コンポーネントとしてどのようなソフトウェアが含まれているのかを把握することが困難な状況という課題がある。

このようなソフトウェアの脆弱性管理に関し、ソフトウェアの開発組織と利用組織双方の課題を解決する一手法として、「ソフトウェア部品表」とも呼ばれるSBOMを用いた管理手法が注目されている。米国では大統領令に基づき、連邦政府機関におけるSBOMを含めたソフトウェアサプライチェーンセキュリティ対策の強化に向けた動きが進展している。QUAD （日米豪印戦略対話）では、政府調達ソフトウェアのセキュリティ確保に向け、ソフトウェアの安全な開発・調達・運用に関する方針を示した共同原則が発表されており、SBOMを含めたソフトウェアコンポーネントの詳細情報やサプライチェーン情報を適切に管理することが掲げられている。

そこで、経済産業省では、「産業サイバーセキュリティ研究会ワーキンググループ1（制度・技術・標準化）サイバー・フィジカル・セキュリティ確保に向けたソフトウェア管理手法等検討タスクフォース」を設置し、有識者や様々な分野の業界団体関係者を交えながら、SBOMの利活用等について実証や議論を行い、主にソフトウェアサプライヤー向けとして「ソフトウェア管理に向けたSBOM（Software Bill of Materials）の導入に関する手引」を策定した。

2．手引の概要

本手引は、SBOMを導入するメリットやSBOMに関する誤解と事実などSBOMに関する基本的な情報を提供するとともに、SBOMを実際に導入するにあたって認識・実施すべきポイントを、（1）環境構築・体制整備フェーズ、（2）SBOM作成・共有フェーズ、（3）SBOM運用・管理フェーズと、フェーズごとに示している。
本手引の読者として、主に、パッケージソフトウェアや組込みソフトウェアに関するソフトウェアサプライヤーを対象としている。もちろん、ソフトウェアを調達して利用するユーザー企業においても、本手引を活用していただくことが可能となっている。具体的には、ソフトウェアにおける脆弱性管理に課題を抱えている組織や、SBOMという用語やSBOM導入の必要性は認識しているもののその具体的なメリットや導入方法を把握できていない組織などにとって、ソフトウェアの管理の一手法としてSBOMの導入等を検討する際に役に立つ手引となっている。