NRIセキュア、ソフトウェアサプライチェーンのセキュリティ対策として注目される、「SBOM」の導入支援サービスを提供開始

■SBOM（ソフトウェア部品表）の導入が求められる背景
SBOMとは、製品・サービスのソフトウェアを構成するライブラリなどのコンポーネント（ソフトウェア部品）およびそれらの依存関係などの情報を含む一覧表です。SBOMを活用することでソフトウェアが使用するオープンソースソフトウェア（OSS）[ii]の脆弱性などのリスクについて検証が可能になるため、ソフトウェアサプライチェーン全体のセキュリティ向上が期待できます。

ソフトウェアの脆弱性を悪用したサイバー攻撃の増加・深刻化をうけて発令された米国大統領令（EO14028）[iii]をきっかけに、SBOMに注目が集まっています。さらに、「EUサイバーレジリエンス法（CRA）」[iv]、「医療機器サイバーセキュリティの原則及び実践（IMDRFガイダンス）」[v]をはじめとする法規・ガイドラインによりSBOMの導入が義務化される見通しです。また、経済安全保障の分野でもSBOMの重要性が高まっています。

■本サービスの概要
本サービスは、SBOMを活用した脆弱性管理を実現するために、製品・サービスの開発・運用プロセスへのSBOMの導入計画作成から導入、PoC（Proof of Concept、概念実証）、課題解決のためのアドバイザリまで、幅広く支援します。

提供する支援内容の例は、以下の通りです。これらの他にも、要望に応じてPSIRT[vi]やCSIRT[vii]の構築・強化や、SBOM関連の法規・ガイドラインの対応についても支援することが可能です。

１．SBOM生成プロセスの構築支援
製品やそれを構成するコンポーネントをもとにSBOM生成の対象を整理しつつ、適切なSBOM生成ツールを選定・提案し、その導入やPoCを支援します。製品の開発プロセスにおいてSBOMを生成できるようにするだけでなく、生成したSBOMの管理や関係先への提供などについても支援します。

２．SCA（ソフトウェア構成分析）の導入支援
製品・サービスの開発プロセスにおいては、リリースするソフトウェアに既知脆弱性が含まれないようにするための対策「SCA（ソフトウェア構成分析）」[viii]を行うことが推奨されます。ソフトウェアとそれらを構成するコンポーネントを対象にSBOMを活用した既知脆弱性の検出を可能にするSCAツールの導入を支援します。

３．脆弱性監視・対応プロセスの構築・強化支援
製品・サービスの運用プロセスにおいては、ソフトウェアのリリース後に発生する新たな脆弱性を監視し、脆弱性が発生した際にはその影響範囲を特定して適切に対応することが求められます。SBOMを活用したコンポーネント単位での脆弱性監視、脆弱性の影響範囲の特定を可能にする脆弱性監視ツールの導入や、脆弱性監視・対応プロセスの構築・強化を支援します。

本サービスの詳細については、次のWebサイトをご参照ください。
リンク


NRIセキュアは今後も、企業・組織の情報セキュリティ対策を支援するさまざまな製品・サービスを提供し、安全・安心な情報システム環境と社会の実現に貢献していきます。


■ご参考
NRIセキュアでは、サイバーレジリエンス（サイバー攻撃への耐性）・ソフトウェアサプライチェーンの領域におけるリスク対策を総合的に支援する「サプライチェーントラストサービス」を提供しています。サプライチェーントラストサービスの支援メニューについては、以下の一覧表をご参照ください。

表：「サプライチェーントラストサービス」における支援メニュー


ニュースに関するお問い合わせ
NRIセキュアテクノロジーズ株式会社　広報担当
E-mail：info@nri-secure.co.jp