経済産業省が策定した「ソフトウェア管理に向けたSBOM（Software Bill of Materials）の導入に関する手引」に対するSnykの対応

7月28日に経済産業省が「ソフトウェア管理に向けたSBOM（Software Bill of Materials）の導入に関する手引」を策定しました。経済産業省は、ソフトウェアのセキュリティを確保するための管理手法の一つとして「SBOM」（ソフトウェア部品表）に着目し、企業における開発生産性の向上も期待しています。

Snykは、「ソフトウェア管理に向けたSBOM（Software Bill of Materials）の導入に関する手引」7.3.2 において、SBOM に関するツールとして紹介されています。

本記事では、Snyk のSBOMツールを活用してどのように経済産業省の手引きに対応できるかについてご紹介します。

なぜ経済産業省がソフトウェアサプライチェーンのセキュリティに乗り出したのか

経済産業省がSBOMの手引きを策定した背景には、ソフトウェアサプライチェーンへの攻撃によって多大な被害を受ける事件の増加があります。2022年12月には、米IT企業のSolarWinds（ソーラーウインズ）が攻撃され、このソフトを利用していた企業が被害を被りました。この事件から、米国では2021年5月にバイデン大統領が署名した大統領令を起点にし、SBOM の導入が世界的に普及しつつあります。

日本国内においては、経済産業省が「サイバー・フィジカル・セキュリティ確保に向けたソフトウェア管理手法 等検討タスクフォース」（ソフトウェアタスクフォース）を 2019 年 9 月より開催、議論を重ね、SBOMツールのメリットや効果を確認しました。特に、ソフトウェアの脆弱性管理やライセンス管理におけるメリットがあり、その結果として開発生産性の向上メリットが得られることが明らかになったため、SBOM導入に関する手引きが策定されました。

SBOM 導入のフェーズとステップについて

経済産業省は今回の手引きにおいて、SBOM 導入のフェーズを大きく3つに分けています。

1. 環境構築・体制整備フェーズ

2. SBOM作成・共有フェーズ

3. SBOM運用・管理フェーズ

そこでフェーズごとにSnykがどのように支援できるかについて見ていきます。

環境構築・体制整備フェーズにおける、SBOMツールの選定・導入・設定・学習についてSnykの取り組みをご紹介します。

まず、Snyk は Cyclone DX や SPDX といったSBOMの標準フォーマットに対応しています。また Snyk は日本法人を有しており、日本人が日本語で提供するサポート体制を整備しています。SBOMツールの導入・設定支援も、日本語で提供可能です。脆弱性を専門にしているため、専門的な知識と経験から、ベストプラクティスを共有しています。

SBOM作成・共有フェーズ及び運用・管理フェーズにおいては、Snyk はCI/CDにスキャンを組み込んだり、GitHubのようなSCMと連携してスキャンをすることによって、手作業でのSBOM出力を自動化し、常に最新情報を把握することができるように支援させていただきます。

迅速な開発を、安全に

Snyk では、今回の「ソフトウェア管理に向けたSBOM（Software Bill of Materials）の導入に関する手引」策定を受け、8月23日に「SBOM 徹底解説！ソフトウェア部品表 (SBOM) について企業が取るべき対応」ウェビナーを開催しました。

録画と投影資料のダウンロードはこちら：https://go.snyk.io/jp-sbom-webinar-aug-2023.html

またSBOM対応に関するご相談は、お問い合わせからお気軽にご連絡ください。

お問い合わせ：https://go.snyk.io/jp-contact-us.html