2025年6月13日(金)開催!OSSコンプライアンスセミナー
リコー様が語る!OSSコンプライアンスとセキュリティの取り組み
~SBOM・CRAの動向/生成AI活用におけるリスク対策~
オープンソースソフトウェア(OSS)のコンプライアンス体系は、OSSの普及とともに進化を続けています。特に2020年代においては、OSSのライセンス管理に加え、セキュリティ管理が重要視されるようになっています。この動きは、世界各地で進む法規制の強化や、OSSの利用拡大によるリスクへの対応という背景があります。
直近では、特に、ソフトウェア部品表(SBOM: Software Bill of Materials)の導入や、2024年12月に正式に発効されたEUのサイバーレジリエンス法(CRA: Cyber Resilience Act)の動向が注目されています。また、生成AI(Generative AI)の活用が進む一方で、これに伴う新たなリスクも浮上しており、適切なリスク対策が求められています。
今回のセミナーでは、株式会社リコー 伊藤様を特別講師にお招きし、OSSコンプライアンスの取り組みと、その取り組みが今話題のSBOMとどのように繋がっているのかを講演していただきます。時代ごとのOSSコンプライアンス体制の歴史を振り返りながら、社会的要請が高いセキュリティ問題への対策をいかに合理的にアドオンできるかを考察していただきます。
また、FossID社からは、SBOMを活用して、ソフトウェアがどこに存在しているのか、安全性に問題がないか、法律や規則に違反していないかといった重要なリスクにどのように対応できるかを説明します。
テクマトリックスからは、改めてSBOMとは何かをご理解いただき、SBOM対応について検討されている方や、各種法規・規格対応の検討を進めている方などに向けて、SBOM導入を3つの段階的フェーズで効率的に進めていくための「テクマトリックスSBOMソリューション」をご紹介します。また、SBOM作成が可能なSCAツール『FossID』『Clarity』をご紹介するとともに、ツールをCI/CD環境に統合した事例も合わせてご紹介します。
<こんな方におすすめです>
- SBOMなど現在のOSS管理の動向について関心のある方
- OSSのライセンス/脆弱性の管理を実施している方、検討している方
- OSS管理ツールをお探しの方
- 各種法規・規制対応の検討を進めている方
特別講演:Session1 13:35-14:20
OSSライセンス×セキュリティ法規制へのコンプライアンス連携における、SBOMが果たすべき役割の考察
時代ごとのOSSコンプライアンス体制の歴史を振り返りつつ、社会的要請が高いセキュリティ問題への対策を如何に合理的にアドオンできるかを考察する。
伊藤 輝昭 氏
株式会社リコー
デジタルサービスBU 経営企画本部 経営戦略室 法務グループ 再雇用社員
【経歴】
90年代のソフトウェアコンポーネントビジネスと2000年代の欧州公的研究機関との共同研究活動において外部連携と対外交渉の経験を積み、10年代に一旦デジタル一眼レフの動体AF性能向上プロジェクトに関わった後、本社法務部において本業回帰。BU制導入にともない23年度より現職。
所属にかかわらず、2006年から2020年に掛け、組織横断のOSS委員会のメンバー兼推進役として、技術系メンバーや知財系メンバーと知見を補完し合いながらOSSコンプライアンス問題に取り組む。
最近は法務業務の一環で、EU CRAの整合規格策定の遅れに頭を抱えている。
特別講演:Session2 14:30-15:15
Beyond the Inventory: SBOMs as Risk Management Assets
イベントリを超えて:リスク管理資産としてのSBOM
一部の人々はソフトウェア部品表(SBOM)を単なる構成要素のリストと考えるかもしれませんが、実際にはそれ以上の可能性を秘めています。
本セッションでは、SBOMを活用して、ソフトウェア構成要素、安全性、コンプライアンスに関する重要なリスクの疑問にどのように答えることができるかを議論します。また、ソース、ビルドキャプチャ、バイナリ/依存性、実行時といったさまざまな種類のSBOMが、それぞれセキュリティ運用から法的レビューまで、特定の対象者にどのような独自の洞察を提供するかを共有します。そして、戦略的にSBOMを活用することで、組織が真に情報に基づいた意思決定を行い、ソフトウェアサプライチェーンの完全性を実現する方法についても説明します。
※生成AIについては、FossID社の講演の中で説明がある予定です。
※本セッションは、逐次通訳となります。
Tomas Gonzalez 氏
FossID AB
Director of Operations
【経歴】
FossIDのカスタマーサクセスおよびセールスエンジニアリングチームのリーダー。FossIDに入る前は、Black DuckやSnykでビジネス開発の役割を担当し、SCA(ソフトウェア構成分析)だけでなく、アプリケーションセキュリティ全般でFossIDのクライアントを成功に導く経験を蓄積。
仕事以外では、自然の中でハイキング、スキー、サイクリングを楽しんだり、ピザ・タコス・ラーメンの新しいお店の開拓が趣味。
Session3 15:20-15:40
SBOM対応の必要性と段階的な導入プロセス
~テクマトリックスのSBOMリューションのご紹介~
本セッションでは、SBOMとは何かをご理解いただき、SBOM対応について検討されている方や、各種法規・規格対応の検討を進めている方などに向けて、SBOM導入を「環境構築・体制整備」、「SBOM作成・共有」、「SBOM管理・運用」の3つの段階的フェーズで効率的に進めていくための「テクマトリックスSBOMソリューション」をご紹介します。
また、SBOM作成が可能なSCAツール『FossID』『Clarity』をご紹介するとともに、ツールをCI/CD環境に統合した事例も合わせてご紹介します。
柳田 誠
テクマトリックス株式会社
ソフトウェアエンジニアリング事業部
【経歴】
2025年4月入社。前職時代も含め、組み込み業界で10年以上のソフトウェア営業を経験。SCAツールの販売も長年に渡る経験があり、テクマトリックスでもOSS管理ツール(FossID、Clarity)を担当。
アジェンダ
- 13:30-13:35 | 開始:挨拶
- 13:35-14:20 | OSSライセンス×セキュリティ法規制へのコンプライアンス連携における、SBOMが果たすべき役割の考察
| 株式会社リコー 伊藤 輝昭 氏 - 14:20-14:30 | 休憩
- 14:30-15:15 | Beyond the Inventory: SBOMs as Risk Management Assets
| FossID AB Tomas Gonzalez 氏 - 15:15-15:20 | 休憩
- 15:20-15:40 | SBOM対応の必要性と段階的な導入プロセス~テクマトリックスのSBOMリューションのご紹介~
| テクマトリックス株式会社 柳田 誠 - 15:40-15:50 | 閉会:挨拶
開催概要
| 名称 | 【OSSコンプライアンスセミナー】 リコー様が語る!OSSコンプライアンスとセキュリティの取り組み ~SBOM・CRAの動向/生成AI活用におけるリスク対策~ |
| 開催日時 | 2025年6月13日(金) 13時30分~16時00分 |
| 開催場所 | オンライン(Zoom利用) |
| お申込み | 事前登録制 お申し込みいただいた方に、セミナー窓口よりメールにて、Zoomのログイン先をご連絡いたします。 ※同業他社および当社の競合企業にあたる企業の方のお申し込みは、ご遠慮いただく場合がございます。 ※セミナーの内容やスケジュールは変更になる場合があります。ご了承をお願いいたします。 |
| 参加費 | 無料 |
| 定員 | 100名(先着順) ※申し込み状況により、枠を増加させる場合あります。 |
| 主催 | テクマトリックス株式会社 |
| 個人情報のお取り扱いについて | お申込みいただきました個人情報は、主催企業であるテクマトリックス株式会社で取得し、イベント参加申し込みを適切に受け付けて管理します。ご入力いただいた個人情報は、製品・サービスの案内・提供・保守、各種セミナーの案内、各種アンケート、採用の募集を実施するために必要な範囲内で利用することがあります。 当社の“個人情報保護方針”の詳細については、個人情報保護方針のページをご参照ください。
ご同意のうえ、お申し込みください。
|
| お問い合わせ | テクマトリックス株式会社 ソフトウェアエンジニアリング事業部 FossIDセミナー担当 お問い合わせはこちら |
セミナーに際しての注意事項
※セミナーの内容、スケジュールは変更になる場合があります。
※講演内容の録音・録画は禁止させていただきます。
※講演演内容の資料の複製や無断転載は禁止させていただきます。
※天災や交通機関のストライキ等により、止むを得ず開催を中止、もしくは時間の変更を行う場合がございます。
FossID - OSSライセンス&セキュリティ管理ツール
FossIDは、最新鋭のスキャニング エンジンと、膨大なオープンソース情報ナレッジベースに支えられた新しいOSSライセンス&セキュリティ管理ツールです。さまざまなプログラミング言語のファイルに対し、独自のコード検索アルゴリズムで高速にスキャンを行い、コードの派生元であるオープンソースを特定します。また、NIST(アメリカ国立標準技術研究所)で公開されるCVE情報に基づくOSSの脆弱性情報も表示し、早期にOSSのセキュリティ対策が行えます。 さらに、部分的にコピー&ペーストしたOSSの情報が確認できるコードスニペット検出にも対応しているため、より正確で広範囲な情報を可視化します。
