SBOM
SBOM(エスボム)は、「Software Bill of Materials」の略語で、ソフトウェアを構成する各部品の情報をリスト化して管理する手法。「ソフトウェア部品構成表」(経済産業省HPより)とも呼ばれる。
近年、大手企業をターゲットにしたソフトウェアサプライチェーン攻撃が増加している。ソフトウェアサプライチェーン攻撃とは、ソフトウェアの開発段階で不正なプログラムを組み込み、ソフトウェアを経由してターゲットに侵入する攻撃手法だ。また、セキュリティ対策が十分でない取引先企業や関連会社の脆弱性を悪用し、大手企業へサーバー攻撃するケースもある。
SBOMを導入することで、オープンソースなどの活用が進むソフトウェアのセキュリティリスクを把握し、脆弱性を見逃すリスクを低減させる。脆弱性が発見された場合、素早く対処できるため、修正作業の短縮とコスト削減になる。また、ソフトウェア情報の可視化により、開発コストが削減され、生産性の向上が期待できる。一方で、導入には初期コストがかかり、ツールを使いこなすスキルも求められる。ツールに精通するまでの作業コストも考慮する必要がある。
経済産業省は、脅威が増しているソフトウェアのセキュリティ確保のため、SBOMの利活用を推進。2024年8月、企業に向けて「ソフトウェア管理に向けたSBOMの導入に関する手引ver2.0」(PDF)を公表している。
