製造業の「SBOM」は誰が構築し運用／管理すべきか【前編】：武田一城の「製品セキュリティ」進化論（3）（2/2 ページ）

近年「製品セキュリティ」と呼ばれ始めたセキュリティの新分野に関する事象を紹介し考察する本連載。今回は、製造業で広く利用されている「EBOM」「MBOM」「サービスBOM」と、製品セキュリティを守る上で重要な役割を果たすSBOM（ソフトウェア部品表）の違いについて論じる。

[武田一城，MONOist]

　これら3つのBOMの違いを比較表としてまとめると以下のような図になる。

3つのBOMの違い［クリックで拡大］

　3つのBOMは「製品開発〜製造〜保守／サポート」のフェーズごとに分けられ、各部門が自分たちに必要な情報を集約している。この左から右に流れる、製造業のフェーズは各部門内で完結する。つまり、これら3つのBOMは、組織ごとに必要な情報の集合体だということだ。

従来のBOMとSBOMの違い

　製造業における従来のBOMと、近年必要性が急増しているソフトウェアを管理するSBOMは、扱う「対象」と「目的」が異なる。前者は物理的なハードウェア（基板や部品、ネジなど）の管理であり、後者はコードとして記述されるソフトウェアの構成要素の管理だ。

　従来の3つのBOM（EBOM、MBOM、サービスBOM）は、製品のライフサイクル「製品開発⇒製造⇒（出荷／販売）⇒保守／サポート」に合わせたBOM情報を引き継ぐのが主な特徴だ。それに対して、SBOMはソフトウェアの構成要素に特化したもので、製造業がこれまで活用してきたBOMのようにフェーズや組織構成に沿ったものではない。これは、一見すると小さな違いだが、この違いが「いざSBOMを導入する」となると大きなハードルとなることが少なくない。

　SBOMの主な目的は、製品出荷後にソフトウェアの脆弱性が判明した場合や、想定していなかった脅威が顕在化した場合に迅速に対応することだ。もちろん、これはソフトウェアだけの問題ではなく、ハードウェアの問題でも同様だろう。

　しかし、目に見える物理的な部品で構成されるハードウェアと異なり、目に見えないソフトウェアのため管理がしにくい。そのため、何はなくともその可視化が大前提となる。まず、ソフトウェア部品間の関係性を含め見える形にすること。そして、そこにあるソフトウェア構成の情報がある程度整理されていなければ、とてもではないが管理などできないのだ。

　SBOMで管理されるソフトウェアは、主に「パッケージソフト」「独自開発のソースコード（プロプライエタリコード）」「OSS（オープンソースソフトウェア）」の3つに大別される。特にOSSは、そのいきさつや成り立ちから管理が難しい特性があり、特別な考慮が必要だ。このようなソフトウェアの可視化、OSSの特殊性、さらに巧妙化し続けているサイバー攻撃の手法などが絡み合って、SBOMを構築し運用／管理する上で、高いハードルとなっている。

---

　今回は、『製造業の「SBOM」は誰が構築し運用／管理すべきか』というテーマの前編として、これまで製造業が利用してきたBOMとSBOMの違いやソフトウェア特有の特殊性について述べた。次回は、「誰が構築し運用／管理すべきか」という課題の解決策につながる考え方の整理の方法について述べたい。（次回に続く）

著者プロフィール

武田一城（たけだ かずしろ）　株式会社ベリサーブ

1974年千葉県生まれ。セキュリティ分野のマーケティングスペシャリスト。次世代ファイアウォールをはじめ、さまざまな新規事業の立ち上げに従事。セキュリティに限らず、IT全般の動向にも詳しく、インターネットや書籍の執筆実績が多数あり。NPO法人日本PostgreSQLユーザ会理事。日本ネットワークセキュリティ協会（JNSA）のワーキンググループや情報処理推進機構（IPA）の委員会活動、各種シンポジウムや研究会、勉強会での講演をはじめ製品セキュリティの啓発に向け精力的に活動している。