SBOMがあれば脆弱性管理は完璧……となるその前に：宮田健の「セキュリティの道も一歩から」（88）（1/2 ページ）

「モノづくりに携わる人」だからこそ、もう無関心ではいられない情報セキュリティ対策の話。今回は、セキュリティ観点でソフトウェアの部品管理「SBOM」に注目したいと思います。

[宮田健，TechFactory]

本記事は「TechFactory」に掲載された会員限定コンテンツをMONOist向けに再編集した転載記事となります。［全文を読む］には、会員登録（無料） およびログインが必要になります。

　筆者がかつてERPパッケージ製品のサポートエンジニアをしていたころ、同じオフィスでは製造業系パッケージのサポートをする同僚が多くいました。パッケージ間の接続があるため一通りの製品を把握したとき、生産管理における部品情報を記録し管理する「Bills of Materials」の考え方を知りました。20年ほど前の話ですが、まさかその言葉が後にセキュリティにおいても注目を集めることになるとは全く思いませんでした。

　いま、セキュリティの世界においてソフトウェアの部品管理、つまり「SBOM」（Software Bill of Materials）という考え方が広まりつつあります。2023年8月には、携帯電話事業者であるKDDIが、KDDI総合研究所、富士通、日本電気、三菱総合研究所らとともに、サイバーセキュリティの強化に向けSBOM導入の実証実験に着手したという報道もありました。

サイバーセキュリティーの強化を目的に通信分野へのSBOM導入に向けた実証事業に着手 | 2023年 | KDDI株式会社

　さて、このSBOMはどのようなものなのでしょうか。そしてこれはサイバーセキュリティに本当に効くのでしょうか。今回は簡単ですが、この「SBOM」に注目したいと思います。

経産省も資料を公開し始めた「SBOM」