はじめに
SRA Advent Calendar 2023の19日目です。
関西事業部の南部です。
可能な限り誕生日の本日(12/19)に記事を書くようにして7年。47歳になりました。もう紛れもないアラフィフです。
今回は、2020年6月に以前一緒に仕事をしていた人にSBOM管理環境を構築しましょうとお声掛けをいただき早3年。
ようやく形になり運用も始まり一段落したので、SBOMについて少し書いておこうと思いました。
SBOMとは
Software Bill of Materialsの頭文字をとったもので、「エスボム」と読みます。
詳しくはOpenChain Japanや、日立ソリューションズ社のHPと、たくさんあるので見てみてください。
それらの情報をまとめると、SBOMとは、該当のソフトウェアが「どのような要素から構成されているのか?」をリストにしたもので、特定の製品に含まれるすべて(オープンソースなど)のソフトウェアコンポーネント、ライセンス、依存関係を一覧化したものになります。
例えるなら、食料品におけるどんな原材料で構成されているか表した食品表示のようなものかと思います。
2021年5月に署名されたアメリカの大統領令でSBOMの提出が必要になったり、経済産業省 商務情報政策局 サイバーセキュリティ課で検討タスクフォースが出来たり、経済産業省にて手引書が公表されたりと近年どんどん注目度が高まっています。
こんな時にSBOMがあると便利
弊社内ではOSSのXXXに脆弱性が見つかった!これまで製造したソフトウェアでそれを使用していないか確認して!
とちょいちょい連絡があり、各マネージャーが調査結果を報告していますが、SBOMを作成し、常に最新化しておけば、担当者がSBOMを検索すれば済むようになり、脆弱性対応がスムーズにいくようになります。
そういう意味では、脆弱性対応の第一歩ではないかと思っています。
おわりに
先にも書きましたが、SBOM作成は脆弱性対応の第一歩、入口だと思っています。
SBOM作成や、管理の仕組みが簡単に出来ればなと思ったので、そのあたりをサービス化出来ればビジネスになるかもとちょっと活動を開始しました。
競合サービスがたくさんあり差別化が大変ですが、頑張ってみたいと思います。