
サイバー攻撃では、とかくソフトウェアの脆弱性が狙われがちです。しかし、「SBOM(エスボム)」という対策を実施することで、その攻撃に対し、素早い対策を取ることが可能になります。「SBOM」とは、一体どのようなセキュリティ対策なのでしょうか?解説します。
SBOMは「ソフトウェアの部品表」
SBOMは、ソフトウェアに含まれるライブラリやモジュールといったコンポーネント(部品)、プログラムの名称やバージョン、著作権情報などをリスト化したものです。「SBOM」は「Software Bill Of Materials」の略したもので、直訳すると「ソフトウェア部品表」という意味です。
たとえばソフトウェアの開発や更新の際、SBOMによってこれらのデータを専用のデータベースに記録することで、開発元やバージョン、ライセンスといった情報が簡単に確認できるようになります。
ソフトウェアはさまざまな要素から構成されているため、SBOMによってその一つ一つを把握することは、セキュリティリスクの管理につながります。
SBOM台頭の背景に「OSS」あり
“ソフトウェア部品表”であるSBOMがセキュリティ対策として有効な手段である背景には、「OSS」の存在があります。
OSSとは「オープンソフトウェア」の略で、ソースコードが公開された、誰でも自由に改変・再配布が可能な無償のソフトウェアのことです。OSSを利用することで、独自にプログラムを作るよりも、開発コストを抑えて効率よく作業できるメリットがあります。
一方で、デメリットもあります。たとえばOSSに脆弱性があった場合、その脆弱性を突いたサイバー攻撃の被害を受ける可能性が高まります。
たとえば2021年12月には、多くの企業で使われている「Apache Log4j(アパッチログフォージェイ)」というOSSにおいて、「Log4Shell」と呼ばれる重大な脆弱性が発見されました。しかし、そもそも自社製品に「Apache Log4j」が使われているかどうかがわからなければ、迅速な対応はできません。
こうした場合もSBOMを作成していれば、OSSに脆弱性が見つかった場合、企業は自社で作成したSBOMを確認し、該当するOSSを使用しているか否かが速やかに確認でき、攻撃される前に修正することができます。そのため、SBOMによってOSSの情報を管理することが、セキュリティ対策として有効になるというわけです。
世界でもSBOMの価値が認められつつある
SBOMによるセキュリティ対策は、すでに世界中で始まりつつあります。
たとえばアメリカでは、2021年5月に策定されたサイバーセキュリティ強化のための大統領令にて、ソフトウェアサプライチェーンのセキュリティ強化のため、SBOMを作成することが指示されました。
さらに、2023年5月に開かれた、日米豪印の政府首脳が集うる会合「Quad(クアッド)」でも、ソフトウェアセキュリティの共同原則において、SBOMを用いることが明記されました。
日本でも、経済産業省が2023年7月に「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引」という資料を発表しました。経産省ではSBOMの導入が進むことで、企業はソフトウェアの適切な管理ができるようになり、開発生産性やサイバーセキュリティ能力の向上に繋がるとしています。
SBOM導入をサポートするサービスもある
こうした流れを受け、日本企業でもSBOMを導入する企業が徐々に増え始めています。
たとえばある大手自動車メーカーは、自動車の車載ソフトウェアの管理にSBOMを活用しているといいます。さらに2023年8月には、大手通信会社や電機メーカーなどが、通信分野へのSBOM導入に向けた実証事業に着手することが報じられています。
その一方で、現時点ではまだ導入していない企業の方が多いようです。タニウム合同会社2023年2月に行った、大企業のIT管理者に対するアンケート調査によると、現時点でSBOMを導入している企業はわずか14%だったといいます。
とはいえ、SBOMという考え方自体は認知されているようです。同調査では「主要な機能を含めて良く知っている」は32%、「名前は知っている」は43%で、合計で75%がSBOMを認知しているという結果になりました。
最近では、IT企業がSBOM導入のサポートを行うサービスも登場しています。こうしたサービスを利用すれば、すでに導入済みの自社製品やサービスでも、使用しているソフトウェアについて細かく診断を受けることが可能になります。
サイバー攻撃の脅威から自社を守るのは簡単なことではありません。しかし、その攻撃がソフトウェアの脆弱性を狙ったものであれば、SBOMを利用することで早期に対応することが可能になります。SBOMという新たなセキュリティ対策があるということを、覚えていて損は無いでしょう。
ICTに関するご相談、NTT東日本が承ります
連載記事一覧
- 第1回 ソフトバンク副社長の退任から考える、後継者問題 2016.08.26 (Fri)
- 第2回 「内定辞退」を出さないために企業がすべきこと 2016.09.08 (Thu)
- 第3回 部下に好かれる上司は無能?シビアな内容の本に学ぶ 2016.10.06 (Thu)
- 第4回 副業、在宅勤務OK。多様な働き方が企業に与える効果 2016.10.20 (Thu)
- 第5回 現場で優秀だった人こそ危ない、ダメな管理職の特徴 2016.11.02 (Wed)
- 第6回 部下の心を開くちょっとしたコミュニケーション技術 2016.11.14 (Mon)
- 第7回 日産と日立の例に学ぶ、新たなリーダーの育成法 2016.11.24 (Thu)
- 第8回 管理職は社員の勤怠と体調を管理できているか 2016.12.15 (Thu)
- 第9回 現代に求められる上司像「サーバントリーダー」とは 2016.12.22 (Thu)
- 第10回 人気ドラマ「逃げ恥」に学ぶ部下のやる気を引き出す方法 2017.01.10 (Tue)
- 第11回 社員が「コスト削減」に意欲的に取り組む4つの方法 2017.01.11 (Wed)
- 第12回 上司のこんな言動が、部下を精神的に追い込む 2017.01.23 (Mon)
- 第13回 部下に対する「ちょっとした質問」が成長を促す 2017.01.26 (Thu)
- 第14回 クレームは対応次第でチャンスになる 2017.02.16 (Thu)
- 第15回 中小企業の採用活動を助けるユースエール制度とは? 2017.02.28 (Tue)
- 第16回 「キーマン不在で仕事が回らない」を防ぐために 2017.04.25 (Tue)
- 第17回 カルビーがテレワークを「毎日OK」とした理由 2017.04.26 (Wed)
- 第18回 仕事の効率を上げるオフィスカジュアルのすすめ 2017.06.26 (Mon)
- 第19回 借金で会社経営が安定!?資金調達は計画的に(前編) 2017.07.12 (Wed)
- 第20回 借金で会社経営が安定!?資金調達は計画的に(後編) 2017.07.18 (Tue)
- 第21回 「乾けない世代」30代以下の価値観が企業を変える 2017.12.07 (Thu)
- 第22回 職場の育児・介護意識を変える「両立支援助成金」 2017.12.21 (Thu)
- 第23回 なぜ多くの新卒社員は3年で退職してしまうのか? 2018.01.17 (Wed)
- 第24回 コロナで活況「スモールM&A」という選択肢 2020.06.26 (Fri)
- 第25回 慶応病院と東京歯科大学も合併、医療M&Aのいま 2021.02.19 (Fri)
- 第26回 ABWとは?フリーアドレスやテレワークとの違いは? 2021.02.19 (Fri)
- 第27回 約3割がオフィス縮小を希望、始め方・進め方は? 2021.02.19 (Fri)
- 第28回 Googleや味の素も注目、「無意識の偏見」のリスク 2021.06.03 (Thu)
- 第29回 日本版ワーケーション成功の合言葉は「ワクワク感」 2021.07.01 (Thu)
- 第31回 先進企業に見る、男性育休取得の3つのメリット2023.03.06 (Mon)
- 第32回 Z世代の知見生かす「リバースメンタリング」の効果2023.05.30 (Tue)
- 第33回 DE&I推進がもたらす、イノベーション創出と人材確保2023.06.13 (Tue)
- 第34回 米国では標準化。セキュリティの新たな考え方「SBOM」2023.09.08 (Fri)
- 第35回 増える「ビジネスケアラー」介護離職を防ぐカギは2023.10.04 (Wed)
- 第36回 10月から開始「ステマ規制」で何がNGになるのか?2023.10.04 (Wed)
- 第30回 国内企業も続々実施、企業の長期的な成長に必要なSXとは2023.01.30 (Mon)