経産省・新着情報
2024年4月26日
経済産業省は、ソフトウェアサプライチェーンが複雑化する中で、急激に脅威が増しているソフトウェアのセキュリティを確保するための管理手法の一つとして「SBOM」(ソフトウェア部品表)に着目し、企業による利活用を推進するための検討を進めてきました。2023年7月には、ソフトウェアを供給する企業と調達する企業の双方を想定読者として、SBOMを導入するメリットや実際に導入するにあたって認識・実施すべきポイントをまとめた手引書を策定しました。
その後もSBOMのより効率的な活用方法等の検討を継続し、今般、本手引書を改訂する予定です。具体的には、(1)ソフトウェアの脆弱性を管理する一連プロセスにおいてSBOMを効果的に活用するための具体的な手順と考え方、(2)SBOM導入の効果及びコストを勘案して実際にSBOMを導入することが妥当な範囲を検討するためのフレームワーク、(3)委託先との契約等においてSBOMに関して規定すべき事項(要求事項、責任、コスト負担、権利等)を追加しています。本改訂案について、2024年4月26日(金曜日)から5月27日(月曜日)までの間、意見を募集します。
1.背景・趣旨
近年、産業活動のサービス化に伴い、企業において、オープンソースソフトウェア(OSS)を含むソフトウェアの利用が広がっています。例えば、産業機械や自動車等の制御においてソフトウェアの導入が進んでいます。また、IoT機器・サービスや5G技術についても、汎用的な機器でハードウェア・システムを構築した上で、ソフトウェアにより多様な機能を持たせることで、様々な付加価値を創出していくことが期待されています。
このように産業に占めるソフトウェアの重要性が高まる一方で、ソフトウェアの脆弱性を突いたサイバー攻撃が企業経営に大きな影響を及ぼすなど、ソフトウェアに対するセキュリティ脅威が増大しています。このため、自社のセキュリティを強化するためにソフトウェアを適切に管理していくことが重要になりますが、ソフトウェアサプライチェーンが複雑化し、OSSの利用が一般化する中で、自社製品において利用するソフトウェアであっても、コンポーネントとしてどのようなソフトウェアが含まれているのかを把握することが困難な状況という課題があります。
このようなソフトウェアの脆弱性管理に関し、ソフトウェアの開発組織と利用組織双方の課題を解決する一手法として、「ソフトウェア部品表」とも呼ばれるSBOM(Software Bill of Materials)を用いた管理手法が注目されています。
経済産業省では、「産業サイバーセキュリティ研究会ワーキンググループ1(制度・技術・標準化)サイバー・フィジカル・セキュリティ確保に向けたソフトウェア管理手法等検討タスクフォース」において、有識者や様々な分野の業界団体関係者を交えながら、SBOMの利活用等について実証や議論を行い、企業が適切にソフトウェアを管理するためにSBOMの導入を検討する際に活用できるよう、SBOMの基本的な情報や導入に向けた実施事項、認識しておくべきポイントを整理した「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引ver1.0」を2023年7月に公表しました。
他方で、SBOMを導入した後に、SBOMをどのように活用してソフトウェアの脆弱性を効率的に管理(ソフトウェアの脆弱性の特定、脆弱性対応の優先度付け、情報共有、脆弱性対応)出来るかが明らかでないといった課題が存在しています。
また、ソフトウェア部品の供給者と調達者の立場によって、SBOM作成のコストや脆弱性管理の効率化による便益に偏りが発生しないよう、SBOM導入前に取り決めを明確にしておくことや、SBOM により特定されるソフトウェア部品の範囲や脆弱性管理の範囲などどこまで対応出来ているか違いを可視化し、分野や用途に応じてSBOMを導入するのに適切な範囲を明らかにすることも重要です。
これらの課題を対応し、産業界におけるSBOMの活用をさらに促すべく、同タスクフォースにおいて検討を進め、今般、「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引ver2.0(案)」を策定し、意見募集を開始しました。
2.「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引ver2.0(案)」の概要
「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引ver2.0(案)」は、ソフトウェアを供給する企業と調達する企業の双方を想定読者としています。2023年7月に公表した「ソフトウェア管理に向けたSBOMの導入に関する手引ver1.0」の内容に加えて、以下の内容を盛り込んでいます。
(1)脆弱性管理プロセスの具体化(第7章)
SBOMを活用することで、ソフトウェアの脆弱性管理を通じた脆弱性リスクの低減が効果として見込まれていることから、SBOMを活用するプロセスの中でも、脆弱性管理に関するフェーズが特に重要です。本章では、ソフトウェアの脆弱性を管理する一連プロセスにおいてSBOMを効果的に活用するための具体的な手順と考え方をまとめることで、SBOM活用による効果を高めるための参考情報を提供しています。
(2)「SBOM対応モデル」の追加(8.付録)
本モデルでは、SBOM導入の効果及びコストを勘案して実際にSBOMを導入することが妥当な範囲を検討するためのフレームワークを示しています。当該フレームワークを用いることで、高度な管理を行えるソフトウェア、すなわちセキュアなソフトウェアが市場に適切に評価され、その流通が促進されることが期待できます。
(3)「SBOM取引モデル」の追加(9.付録)
本モデルでは、ソフトウェア部品の受発注において、調達者と供給者の間でSBOMに関して契約に規定すべき事項(要求事項、責任、コスト負担、権利等)について参考となる例を示しています。
3.意見募集の詳細
意見募集対象資料
ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引ver2.0(案)
意見提出方法等の詳細は、意見公募要領を御覧ください。
意見募集期間
2024年4月26日(金曜日)から5月27日(月曜日)まで
関連資料
- ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引ver2.0(案)(PDF形式:3,889KB)
- ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引ver2.0(案) 概要資料(PDF形式:1,392KB)
関連リンク
- サイバー・フィジカル・セキュリティ確保に向けたソフトウェア管理手法等検討タスクフォース
- 「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引」を策定しました
担当
商務情報政策局 サイバーセキュリティ課長 武尾
担当者:飯塚、澤田
電話:03-3501-1511(内線 3964)
メール:bzl-cyber-madoguchi★meti.go.jp
※[★]を[@]に置き換えてください。