経産省のSBOM導入に関する手引について
今年の7月に経済産業省により「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引」が策定、公開されました。既にお読みになった方も多いかもしれませんが、今日はこの手引について、改めて整理してみたいと思います。
本手引の英語版はこちら。
背景
平成31年4月、経済産業省により、「Society5.0」におけるセキュリティ対策の全体像を整理し、産業界が自らの対策に活用できるセキュリティ対策例をまとめた、『サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)』が策定されました。またCPSFに基づくセキュリティ対策の具体化・実装を推進するため、検討すべき項目ごとに焦点を絞ったタスクフォースが新たに設置され、そのうちのひとつである『サイバー・フィジカル・セキュリティ確保に向けたソフトウェア管理手法等検討タスクフォース』により、ソフトウェア管理手法、脆弱性対応、OSSの利活用等に関する検討がおこなわれています。
本手引は、このタスクフォースの活動の中で、有識者や様々な分野の業界団体関係者を交えながら、SBOMの利活用等について実証や議論を行い、主にソフトウェアサプライヤー向けとして策定されました。
手引の全体像
本手引は、7章から成る全79ページのドキュメントで、全体概要は下図のとおりです(概要資料より引用)。
有用な参考情報満載の前半
前半の2~3章は「SBOMとは」「SBOM導入のメリット」などの基礎的な内容から始まっており、初心者の方にもわかりやすいように工夫して書かれています。また、「SBOM 管理による脆弱性管理コストの低減結果(手引 P.14 図2-4)」(手動でのコンポーネント管理に比べ、SBOMによる管理では脆弱性管理コストが約3分の1に低減できるそうです!)など、実証実験のデータに基づく具体的な情報も多数掲載されており、大変参考になります。
また、我々OpenChain Japan WGが策定した日本発のフォーマットであるSPDX-Liteについてもしっかりと紹介いただいています!
実用的なプロセスについて説明されている後半
後半の4~6章には、SBOM導入プロセスにしたがって「環境構築・体制整備フェーズ」「SBOM作成・共有フェーズ」「SBOM運用・管理フェーズ」における実施事項と認識しておくべきポイントが具体的に纏められています。実証実験の結果を用いた具体例や、実務者の知見に基づいた注意点などが詳細に記載されており、実際にSBOMを導入・活用する際の助けになります。
付録にも重要な情報がたくさん書かれています
そして、最後の7章には、用語集や参考情報などのほか、SBOMツールの紹介(特長など)とSBOMフォーマットの詳細解説が書かれています。OpenChain Japanでは、SBOMツールの情報共有やSBOMフォーマットのひとつであるSPDXをテーマに活動しているサブワークグループがありますので、興味のある方は是非ご参加ください。
English Summary
The Ministry of Economy, Trade and Industry (METI) released “Guide of Introduction of Software Bill of Materials (SBOM) for Software Management” in July, 2023. This guide mainly targets software suppliers engaging in packaged software and embedded software as its readers. It contains really useful information and helpful know-hows about SBOM management.