サイバー攻撃では、とかくソフトウェアの脆弱性が狙われがちです。しかし、「SBOM(エスボム)」という対策を実施することで、その攻撃に対し、素早い対策を取ることが可能になります。「SBOM」とは、一体どのようなセキュリティ対策なのでしょうか?解説します。
SBOMは「ソフトウェアの部品表」
SBOMは、ソフトウェアに含まれるライブラリやモジュールといったコンポーネント(部品)、プログラムの名称やバージョン、著作権情報などをリスト化したものです。「SBOM」は「Software Bill Of Materials」の略したもので、直訳すると「ソフトウェア部品表」という意味です。
たとえばソフトウェアの開発や更新の際、SBOMによってこれらのデータを専用のデータベースに記録することで、開発元やバージョン、ライセンスといった情報が簡単に確認できるようになります。
ソフトウェアはさまざまな要素から構成されているため、SBOMによってその一つ一つを把握することは、セキュリティリスクの管理につながります。
SBOM台頭の背景に「OSS」あり
“ソフトウェア部品表”であるSBOMがセキュリティ対策として有効な手段である背景には、「OSS」の存在があります。
OSSとは「オープンソフトウェア」の略で、ソースコードが公開された、誰でも自由に改変・再配布が可能な無償のソフトウェアのことです。OSSを利用することで、独自にプログラムを作るよりも、開発コストを抑えて効率よく作業できるメリットがあります。
一方で、デメリットもあります。たとえばOSSに脆弱性があった場合、その脆弱性を突いたサイバー攻撃の被害を受ける可能性が高まります。
たとえば2021年12月には、多くの企業で使われている「Apache Log4j(アパッチログフォージェイ)」というOSSにおいて、「Log4Shell」と呼ばれる重大な脆弱性が発見されました。しかし、そもそも自社製品に「Apache Log4j」が使われているかどうかがわからなければ、迅速な対応はできません。
こうした場合もSBOMを作成していれば、OSSに脆弱性が見つかった場合、企業は自社で作成したSBOMを確認し、該当するOSSを使用しているか否かが速やかに確認でき、攻撃される前に修正することができます。そのため、SBOMによってOSSの情報を管理することが、セキュリティ対策として有効になるというわけです。
世界でもSBOMの価値が認められつつある
SBOMによるセキュリティ対策は、すでに世界中で始まりつつあります。
たとえばアメリカでは、2021年5月に策定されたサイバーセキュリティ強化のための大統領令にて、ソフトウェアサプライチェーンのセキュリティ強化のため、SBOMを作成することが指示されました。
さらに、2023年5月に開かれた、日米豪印の政府首脳が集うる会合「Quad(クアッド)」でも、ソフトウェアセキュリティの共同原則において、SBOMを用いることが明記されました。
日本でも、経済産業省が2023年7月に「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引」という資料を発表しました。経産省ではSBOMの導入が進むことで、企業はソフトウェアの適切な管理ができるようになり、開発生産性やサイバーセキュリティ能力の向上に繋がるとしています。
SBOM導入をサポートするサービスもある
こうした流れを受け、日本企業でもSBOMを導入する企業が徐々に増え始めています。
たとえばある大手自動車メーカーは、自動車の車載ソフトウェアの管理にSBOMを活用しているといいます。さらに2023年8月には、大手通信会社や電機メーカーなどが、通信分野へのSBOM導入に向けた実証事業に着手することが報じられています。
その一方で、現時点ではまだ導入していない企業の方が多いようです。タニウム合同会社2023年2月に行った、大企業のIT管理者に対するアンケート調査によると、現時点でSBOMを導入している企業はわずか14%だったといいます。
とはいえ、SBOMという考え方自体は認知されているようです。同調査では「主要な機能を含めて良く知っている」は32%、「名前は知っている」は43%で、合計で75%がSBOMを認知しているという結果になりました。
最近では、IT企業がSBOM導入のサポートを行うサービスも登場しています。こうしたサービスを利用すれば、すでに導入済みの自社製品やサービスでも、使用しているソフトウェアについて細かく診断を受けることが可能になります。
サイバー攻撃の脅威から自社を守るのは簡単なことではありません。しかし、その攻撃がソフトウェアの脆弱性を狙ったものであれば、SBOMを利用することで早期に対応することが可能になります。SBOMという新たなセキュリティ対策があるということを、覚えていて損は無いでしょう。
連載記事一覧
- 第31回 先進企業に見る、男性育休取得の3つのメリット2023.03.06 (Mon)
- 第32回 Z世代の知見生かす「リバースメンタリング」の効果2023.05.30 (Tue)
- 第33回 DE&I推進がもたらす、イノベーション創出と人材確保2023.06.13 (Tue)
- 第34回 米国では標準化。セキュリティの新たな考え方「SBOM」2023.09.08 (Fri)
- 第35回 増える「ビジネスケアラー」介護離職を防ぐカギは2023.10.04 (Wed)
- 第36回 10月から開始「ステマ規制」で何がNGになるのか?2023.10.04 (Wed)
- 第37回 高齢化社会がさらに進行「2025年問題」に打つ手はあるか?2023.12.21 (Thu)
- 第38回 契約社員が多い企業は要注意。「労働条件明示」の新ルールがスタート2023.12.21 (Thu)
- 第39回 2024年秋施行「フリーランス新法」で遵守すべきこと2023.12.21 (Thu)
- 第40回 非正規労働者の正社員化をサポートする助成金が拡充2024.01.17 (Wed)
- 第41回 2024年12月アナログ無線機が使用不可に!電波法改正のポイント2024.01.24 (Wed)
- 第42回 協業でもコラボでもない「コレクティブインパクト」の可能性2024.03.01 (Fri)
- 第43回 自然を軽視する企業は評価されない?「TNFD」の考え方2024.03.01 (Fri)
- 第62回 医師も時間外規制。医療の2024年問題の解決法とは2024.03.29 (Fri)
- 第57回 DX加速のカギ「リスキリング」を進めるヒント2024.03.29 (Fri)
- 第56回 ビジネスは「逆算」で考える。リーン・マネジメントとは2024.03.29 (Fri)
- 第58回 DXを円滑に推進するためのチームづくりとは?2024.03.29 (Fri)
- 第59回 現場とリモートのいいとこどり。ハイブリットワーク導入のポイント2024.03.29 (Fri)
- 第60回 3年以内に3割退職。Z世代の離職を防ぐ方法とは?2024.03.29 (Fri)
- 第61回 女性活躍の証「くるみん・えるぼし」認定を受けるメリットとは2024.03.29 (Fri)
- 第44回 2023年10月から開始「ステマ規制」で何が禁止されたのか?2024.03.29 (Fri)
- 第45回 「2024年問題」解決のカギは◯◯を省くことにあり2024.03.29 (Fri)
- 第46回 2023年12月からスタート「アルコールチェック義務化」とは?2024.03.29 (Fri)
- 第47回 アルコール摂取は「1日◯g」まで!厚労省がガイドラインを公表2024.03.29 (Fri)
- 第48回 「賃上げ」につながる価格交渉とは?公取委が公開2024.03.29 (Fri)
- 第49回 介護離職が増加中。仕事と介護を両立する方法とは2024.03.29 (Fri)
- 第50回 生成AIで作った文章・画像は、著作権法に違反していないのか?2024.03.29 (Fri)
- 第51回 4割の企業は、従業員のメンタルヘルスを放置している?2024.03.29 (Fri)
- 第52回 花粉症にはテレワークが効く!?2024.03.29 (Fri)
- 第53回 原作改変は法律違反?企業が知っておきたい著作権の話2024.03.29 (Fri)
- 第54回 自社コンテンツが「海賊版」に利用された時の対処法2024.03.29 (Fri)
- 第63回 経営戦略として「介護」を考える。経産省がガイドラインを公開2024.05.22 (Wed)
- 第64回 元従業員こそ優れた人材である。アルムナイ採用の可能性2024.07.11 (Thu)
- 第65回 Googleマップの「星」はコントロールできるのか?2024.07.12 (Fri)
- 第66回 各地で大雨が発生中。企業は水害にどう備えるべきか2024.08.08 (Thu)
- 第67回 大手企業や自治体も続々導入「週休3日」は実際どうなのか?2024.08.08 (Thu)
- 第68回 企業の6割が「DX人材が大幅に不足」。解消法はどこにあるのか2024.09.24 (Tue)
- 第69回 落雷がPCを壊す!?「雷サージ」はどう防げば良いのか2024.09.24 (Tue)
- 第70回 2025年4月施行、育児休業制度の改正ポイントとは?2024.09.24 (Tue)
- 第71回 あの大企業も導入。「ジョブ型人事」は何が優れているのか?2024.10.08 (Tue)
- 第72回 どうすれば「労働者に選ばれる職場」が作れるのか?厚生労働省の資料から読み解く2024.10.08 (Tue)
- 第73回 人手不足解消につながるか。経産省が進める「ニューロダイバーシティ」の可能性2024.10.18 (Fri)
- 第74回 11月1日にフリーランス新法が施行。企業が気をつけるべきこととは2024.10.18 (Fri)
- 第75回 SNSでの誹謗中傷に、企業はどう対策すれば良いのか2024.11.22 (Fri)
- 第76回 子育てはデジタルでどう変わるか?「保育DX」の今2024.12.24 (Tue)
- 第77回 その「No.1」の表示は大丈夫?消費者庁が実態調査2024.12.26 (Thu)
- 第78回 人事を客観的に判断する「ピープルアナリティクス」の可能性2025.01.30 (Thu)
- 第79回 パタハラにご注意!2025年4月より育児・介護休業のルールが改正2025.03.27 (Thu)
- 第30回 国内企業も続々実施、企業の長期的な成長に必要なSXとは2023.01.30 (Mon)
