「経営者への説明付き」のSBOM導入手引書を公開 経済産業省：「なぜ必要か？」から具体的な運用方法まで

経済産業省は「ソフトウェア管理に向けたSBOMの導入に関する手引」を策定したと発表した。SBOMを導入する利点や実際に導入するに当たって実施すべきポイントをまとめた。

[＠IT]

　経済産業省は2023年7月28日、「ソフトウェア管理に向けたSBOM（ソフトウェア部品表）の導入に関する手引」を策定したと発表した。ソフトウェアサプライヤーを対象に、SBOMを導入する利点や導入するに当たって注意すべきポイントをまとめている。

プレスリリース

導入メリットや「SBOMに関する誤解と事実」を学べる

　経済産業省によると、ソフトウェアのサプライチェーンが複雑化し、オープンソースソフトウェア（OSS）の利用が一般化する中で「自社製品に利用するソフトウェアであっても、コンポーネントとしてどのようなソフトウェアが含まれているのかを把握することが困難になりつつある」という。SBOMは、こうしたソフトウェアの脆弱（ぜいじゃく）性管理について、ソフトウェアの開発組織と利用組織の両方の課題を解決する手法として注目されている。

　米国では大統領令に基づき連邦政府機関で、SBOMを含めたソフトウェアサプライチェーンセキュリティ対策の強化に向けた動きが進展している。日米豪印戦略対話（QUAD）では、政府調達ソフトウェアのセキュリティ確保に向けて、ソフトウェアの安全な開発、調達、運用に関する方針を示した共同原則で、SBOMを含めたソフトウェアコンポーネントの詳細情報やサプライチェーン情報を適切に管理することが掲げられている。

　この手引を使えば、SBOMに関する基本的な情報を学べるだけでなく、SBOMを実際に導入するに当たって認識、実施すべきポイントを抑えることができる。主にパッケージソフトウェアや組み込みソフトウェアのサプライヤーを対象にしているが、ソフトウェアを調達して利用するユーザー企業も有効活用できる。経営層向けにSBOM導入が求められる背景やメリットについても説明している。

　経済産業省は「ソフトウェアの脆弱性管理に課題を抱えている、もしくはSBOMという用語やSBOM導入の必要性は認識しているが具体的な利点や導入方法を把握できていない企業にとってソフトウェア管理の一手法としてSBOMの導入を検討する際に役に立つ」としている。