SBOM(Software Bill Of Materials:ソフトウェア部品表)に対する注目が高まっています。
SBOMとは、特定のソフトウェア、それらの間の依存関係、必要なコンポーネント、ライブラリなどを一覧で構成したリストのことです。従来から、製品に必要な部品の一覧表を BOM(Bill Of Material:部品表)と呼んでいたことを知っている人にはSBOM について類推しやすいと思います。
SBOM への注目が高まっている背景の1つには、昨年発表されたバイデン政権による米国サイバーセキュリティに関する大統領令があります(発令日:2021年5月12日) 。この大統領令において、各製品のSBOMを購入者に直接または公開ウェブサイトに提供することが求められています。
また、昨今の国際状況の大きな変化により、サプライチェーンの脆弱性をついた攻撃がされる懸念が今まで以上に高まっています。
そのため、Linux Foundation は、最近のアプリケーションのおよそ90%が OSS を利用している背景もあり、OSS を活用した製品を提供していく上で、SBOM への取り組みを避けることができない状況と指摘しています。
このような背景から、Linux Foundation は、SBOM に記載されている情報の共有・利用方法を標準化することを目的として、SPDX を定義しました。SPDX は現在 ISO標準となっています。
国内企業においても、トヨタ自動車が SBOM を活用し、車載ソフトに含まれる脆弱性を管理し、自動車へのサイバー攻撃を未然に防ぐ取り組みを強化しています。
| 参考リンク |
|---|