　各コンポーネントにCPE識別子を引き当てた後は、脆弱性監視を定期的に自動実行する。検出された脆弱性情報は、その詳細をダッシュボード上で確認できるようになる。SaaS（Software as a Service）形式のクラウドサービスのため、こうした情報を共通のプラットフォームを使い、サプライチェーンの組織間で共有することも可能だ。

脆弱性情報を組織間で共有することも可能［クリックして拡大］出所：日立ソリューションズ

　日立ソリューションズでは機能ロードマップにのっとり、SBOM管理サービスに順次、機能追加をしていく計画だ。2段階目ではOSSライセンスの管理や解釈の支援機能を強化し、3段階目では組織がOSS活用で満たすべきコンプライアンス要件の国際標準「ISO/IEC 5230」やOSSガイドラインに対応した管理機能の搭載、4段階目では組織内のOSSの活用推進を担う「OSPO（Open Source Program Office）」の活動を支援する機能の提供をそれぞれ予定している。

機能は順次拡充していく計画だ［クリックして拡大］出所：日立ソリューションズ

　SBOM管理において日立ソリューションズが持つ独自の強みについて、日立ソリューションズ ITプラットフォーム事業部デジタルアクセラレーション本部の渡邊歩氏は「日立ソリューションズはSBOMとOSSの管理に関するコンサルティングサービスを長く提供してきており、ベストプラクティクスやノウハウを多く蓄積している。大手自動車企業など製造業を中心に60社以上のSBOM導入支援を手掛けてきた実績がある」と説明した。

なぜSBOMの重要性が高まっているのか

　近年の製造業では、自動車や家電製品などに代表されるように、ソフトウェアを活用したモノづくりの重要性が増している。この中でOSSは、ソフトウェア開発のサイクルスピードを加速させる上で欠かせない役割を果たす。誰もが利用できる高品質なプログラムを適切に使用すれば、開発効率の向上が望めるからだ。

　ただ、OSSを活用することで課題も生じ得る。その1つがソフトウェア構成のブラックボックス化だ。渡邊氏は「いまや1製品当たり、数百から数万個ものOSSを活用している例も少なくない。1つのOSSがまた別のOSSを内包していることもあり、多段階かつ複雑な構成になっている。1つの製品を構成するOSSの全体を把握することが非常に困難だ」と指摘する。こうした状況では、OSSの脆弱性を突いたサイバー攻撃への対応が遅れ、ソフトウェアのサプライチェーン全体がセキュリティリスクに直面しかねない。

脆弱性情報を組織間で共有することも可能［クリックして拡大］出所：日立ソリューションズ

　こうした背景から世界的に注目度が増しているのがSBOMだ。ソフトウェアを構成するコンポーネントやサプライヤーの情報を一覧にして可視化することで、効果的なリスク対策になる。現在、自動車や医療機器、通信、インフラ向けの産業用制御システムなどを展開する業界でSBOMの活用が進んでいるという。

⇒その他の「製造ITニュース」の記事はこちら

日本におけるソフトウェアサプライチェーンセキュリティとSBOMの目的
米国と欧州を中心に法整備が進みつつある「ソフトウェアサプライチェーン」のセキュリティについて解説する本連載。第2回は、日本でのソフトウェアサプライチェーンセキュリティに関する取り組みの状況について紹介する。
SBOMがあれば脆弱性管理は完璧……となるその前に
「モノづくりに携わる人」だからこそ、もう無関心ではいられない情報セキュリティ対策の話。今回は、セキュリティ観点でソフトウェアの部品管理「SBOM」に注目したいと思います。
米国のSBOM整備は2023年以降に進むか、ライセンス競合の主因はもはやGPLではない
日本シノプシスは、商用ソフトウェアにおけるOSS（オープンソースソフトウェア）の利用状況を調査した「2023 オープンソース・セキュリティ＆リスク分析レポート」の結果について説明した。
ソフトウェアサプライチェーンセキュリティを「品質」で読み解く
米国と欧州を中心に法整備が進みつつある「ソフトウェアサプライチェーン」のセキュリティについて解説する本連載。最終回となる第3回は、SBOMの流通によってどんな「良いこと」と「悪いこと」が起こるかを整理しつつ、品質保証の枠組みへの取り込みについても考察する。
米国大統領令の影響か？商用ソフトウェアのOSS由来脆弱性が減少傾向に
日本シノプシスは、商用ソフトウェアにおけるOSS（オープンソースソフトウェア）の利用状況を調査した「2022年オープンソース・セキュリティ＆リスク分析（Open Source Security and Risk Analysis：OSSRA）レポート」の結果について説明した。