SBOMとは

SBOMとは

SBOMとはソフトウェア部品表(Software Bill of Materials：SBOM)を指しています。SBOMは、「ソフトウェアを構成するコンポーネントに関する詳細とサプライチェーン関係を記載した記録」になります。

SBOMの概念は、ソフトウェア サプライ チェーンが複雑化し、ソフトウェア開発プラクティスの透明性とアカウンタビリティの重要性が増していることに対応して、何年もかけて着実に発展し続けてきました。当初、SBOM は航空、自動車、防衛といった規制の厳しい業界内で注目されていましたが、2021年5月に国家のサイバーセキュリティ強化に関するアメリカ合衆国大統領令 (EO) 14028 の発令により、SBOMへの取り組みが急激に加速しています。

SBOMの活用効果とは

SBOMとは、「ソフトウェアを構成するコンポーネントに関する詳細とサプライチェーン関係を記載した記録」ですが、SBOMを活用することで、脆弱性の分析やライセンス情報を入手することができるため、リスクを可視化することができます。また、新たに発見された脆弱性の潜在的なリスクにさらされているかどうかを迅速かつ容易に判断するために活用することもできます。

本来のSBOMの目的であるソフトウェアの脆弱性管理、ライセンス管理のメリットだけではなく、ソフトウェア開発における生産性向上メリット（※１）もあることから、SBOMを用いた管理手法が注目を集めています。

※1：経済産業省「ソフトウェア管理に向けたSBOM（Software Bill of Materials）の導入に関する手引」SBOM導入のメリット

SBOM作成

SBOMは、ソフトウェアの開発工程で生成できるようにさまざまなツールが既に提供されています。例えば、アプリケーションを構成するさまざまなコンポーネントを効率的に管理することを容易にするソフトウェア構成分析(SCA)ツールなどが活用することが考えられます。SCAツールを活用することで、SBOMを作成するだけではなく、依存関係の分析や脆弱性の検出など大きなメリットを得ることができます。また、CI/CDツールを使用している場合は、SCAツールを用いたSBOMの作成を自動化することもできます。

SBOMの共通フォーマット

SBOMを用いて利用しているOSSの把握、管理をすることでライセンスの遵守、脆弱性への迅速な対応を行うことができるようになります。しかし、ソフトウェアサプライチェーンの複雑化、不透明化が進む中、ソフトウェアサプライチェーン攻撃による被害が増加しており、サプライチェーン全体を含めたSBOMの作成が求められてきています。サプライチェーン全体を含めたSBOM作成においては共通フォーマットの利用が求められます。共通フォーマットを利用することにより、サプライチェーン全体を含めた管理が容易になります。また、継続的な管理という観点でも共通フォーマットの利用は有効です。

FossID は、SBOMの国際フォーマットであるSPDX, CycloneDXの作成をサポートしています。 他にもSPDX Lite, Excelレポートなど用途に合わせたレポートを出力することができます。また、SPDX, CycloneDXをインポートすることも可能です。

企業向けSBOMガイド

「SBOMの導入によるライセンス コンプライアンスと ソフトウェア セキュリティの強化」 企業向けSBOMガイドの資料を提供しています。

FossIDのご紹介

FossIDは、最新鋭のスキャニング エンジンと、膨大なオープンソース情報ナレッジベースに支えられた新しいOSSライセンス＆セキュリティ管理ツールです。

さまざまなプログラミング言語のファイルに対し、独自のコード検索アルゴリズムで高速にスキャンを行い、コードの派生元であるオープンソースを特定します。また、NIST(アメリカ国立標準技術研究所)で公開されるCVE(Common Vulnerabilities and Exposures：共通脆弱性識別子)情報に基づくOSSの脆弱性情報も表示し、OSSのセキュリティ対策が行えます。 部分的にコピーペーストしたOSSの情報が確認できるコードスニペット検出にも対応しているため、より正確で広範囲な情報を可視化します。

また、正確なSBOM(Software Bill of Materials：ソフトウェア部品表)を作成し、SPDX/SPDX Lite、CycloneDX、Excelレポートなど用途に合わせたレポートを出力できます。