ソフト管理の新常識、SBOM徹底ガイド
世界各国でSBOM(Software Bill of Materials、エスボム)対応の制度化が進んでいる。日本も例外ではない。経済産業省は2024年8月29日、「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引ver2.0」を公開。企業における活用促進へ力を注いでいる。 本特集では、多くの企業にとって人ごとではないSBOM導入について、事例を交えながら詳しく解説する。 第5回 SBOM活用の難所となるツール選び、失敗しないためのポイントを徹底解説 企業におけるソフトウエアのリスク管理はSBOM(Software Bill of Materials、エスボム)をつくるところから始まる。手作業でのSBOM作成も可能ではある。だが、何百個というコンポーネントの情報を収集したり、ソフトウエアのアップデートの度に繰り返しSBOMを作成した
経産省、「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引」の改訂版を公表
経済産業省は、SBOM(ソフトウェア部品表)を導入するメリットや実際に導入するにあたって認識・実施すべきポイントをまとめた手引書の改訂版「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引ver2.0」を、8月29日に公表した。 同省は、ソフトウェアを供給する企業と調達する企業の双方を想定読者とした、SBOMを導入するメリットや実際に導入するにあたって認識・実施すべきポイントをまとめた手引書を2023年7月に策定している。その後も中小企業を含むあらゆる企業にとってSBOMをより効率的に活用できる方法などの検討を続け、4月26日〜5月27日の期間に実施した意見公募に寄せられた意見を踏まえて、今回公表した改訂版の策定に至った。 「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引ve
Windows OSのシステム管理者も無関係じゃない、これから始めるSBOM
本記事では、Windows OSをはじめとするOSを使用する開発者やIT管理者、経営層などに向けて、ソフトウェアのサプライチェーンリスクや既知の脆弱(ぜいじゃく)性といったリスクと、それを解決するためのSBOM(Software Bill of Materials)の活用について説明していきます。 本校では、以下のような疑問に答えていきます。 SBOMに関する一般論からOS視点でのSBOM活用に触れることで、ソフトウェアの開発と運用に携わる全てのステークホルダーにSBOMの理解を深めていただければと思います。 OS視点で見るSBOM導入の課題 SBOMは、もともとLinux環境におけるオープンソースソフトウェア(OSS)の管理で頻繁に使用される考え方でした。コードの再利用と共有が盛んなこの分野では、SBOMがセキュリティとコンプライアンスの鍵となっています。 Windows OS環境では、
今日から始めるSBOM
SBOM(ソフトウエア部品表、エスボム)を導入する企業が増えてきた。OSS(オープンソースソフトウエア)のライセンス管理だけでなく、ソフトウエアに潜む脆弱性の把握や対処でも有効だ。経済産業省も手引き書を策定するなど普及を後押ししている。 SBOMの機運は高まりつつあるが、日本での認知度はまだこれから。利用するには何から始めればいいのか。どのように活用すればいいのか。トヨタ自動車やルネサスエレクトロニクスの事例を交えて解説する。 第4回 キヤノンメディカルは2000の製品でSBOM作成可能に、対応急務の医療機器業界 「大変だが従わなければならない」――。キヤノングループで医療機器開発などを手掛けるキヤノンメディカルシステムズの鉞泰行上席常務は苦労をにじませる。2024年4月から、日本の医療機器業界ではプログラムを用いた医療機器のSBOM対応が必須になる。 2024.03.05 第3回 トヨタ
激増するOSSのセキュリティ対策を、SBOMと脆弱性情報の管理基盤を提供開始
日立ソリューションズはSBOM情報やソフトウェアの脆弱性情報を一元管理する「SBOM管理サービス」を提供開始した。 日立ソリューションズは2023年12月13日、SBOM(ソフトウェア部品表)情報やソフトウェアの脆弱性情報を一元管理する「SBOM管理サービス」を提供開始した。オープンソースソフトウェア(OSS)の脆弱性情報の共有や管理に関わる業務を効率化する。 SBOMと脆弱性情報のひも付けを効率化 SBOM管理サービスは、企業のSBOMを蓄積、分析、管理するためのプラットフォームを提供するものだ。日立ソリューションズは同サービスの機能ロードマップを4段階で考えており、今回、提供を開始したのは1段階目の「脆弱性の共有と管理の自動化」に関わる部分となる。 特徴として、公開された脆弱性情報を自動的に収集して、ソフトウェアに影響を与え得る脆弱性を検出し、深刻度や対応ステータスなどの項目を使って管
「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引」を策定しました (METI/経済産業省)
【2023年7月28日発表資料差し替え】「ソフトウェア管理に向けたSBOMの導入に関する手引きVer1.0」に関して、ページ番号の記載がなかったため追記しました。 経済産業省は、ソフトウェアサプライチェーンが複雑化する中で、急激に脅威が増しているソフトウェアのセキュリティを確保するための管理手法の一つとして「SBOM」(ソフトウェア部品表)に着目し、企業による利活用を推進するための検討を進めてきました。今般、主にソフトウェアサプライヤー向けに、SBOMを導入するメリットや実際に導入するにあたって認識・実施すべきポイントをまとめた手引書を策定しましたのでお知らせします。 本手引の普及により企業におけるSBOMの導入が進むことで、ソフトウェアの脆弱性への対応に係る初動期間の短縮や管理コストの低減など、ソフトウェアの適切な管理が可能となり、企業における開発生産性が向上するだけでなく、産業界におけ
経済産業省、「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引」公開。環境構築、SBOM作成、運用管理など解説
経済産業省は「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引」を策定し公開したことを明らかにしました。 SBOMは日本語では「ソフトウェア部品表」とされます。あるソフトウェアがどのようなソフトウェア部品によって構成されているのかを示す情報がまとまったデータのことです。 ほとんどのソフトウェアは単独で成立しているわけではなく、オープンソースを始めとする多数のライブラリやコンポーネントなどのソフトウェア部品に依存しています。そのなかのいずれかに脆弱性が発見されればドミノ倒しのように他のさまざまなソフトウェアに影響することは必至です。 例えば2021年末に発覚したJavaライブラリ「Log4j」の脆弱性は、非常に幅広いJavaのソフトウェアに深刻な影響を与えました。 多くの産業や社会インフラにおいてソフトウェアの存在が欠かせなくなってい
SBOMの2大フォーマット「SPDX」「CycloneDX」の違いとは?
本連載では、オープンソースソフトウェア(OSS)の利活用に伴う「ライセンスリスク」と、それをマネジメントするための活動である「OSSコンプライアンス」について取り上げ、エンジニアの方がOSSをスムーズに利用するための実務上の勘所や、これから戦略的にOSSを活用していきたいと考えている企業の方へのヒントとなる情報を紹介しています。 今回からは、「SBOM(Software Bill of Materials:ソフトウェア部品表)」についての本格的な解説に入ります。SBOMは、広義では「ソフトウェアのリスト」あるいは「OSSのリスト」です。本連載でも、これまでに社内でOSSのリストを管理しながらプロジェクトを進行する場面がありました。 しかし、複数のパートナー企業と協力して、サプライチェーンにおけるコンプライアンスおよびセキュリティ担保の取り組みを進めるには、情報内容や記述形式の統一、さらには
SBOMの脆弱性管理がもたらす品質とスピード向上でDevSecOpsを進めよう【デブサミ2022夏】
テーマはSBOM。最近ではカンファレンスのキーワードで扱われる機会が増えてきている。JFrog Japan デベロッパーアドボケイト 横田紋奈氏は顧客からの問い合わせが増えているのを感じているという。「こういうのは浸透するまで時間もエネルギーもかかります。前回のデブサミでも取りあげましたが『この人しつこいな』と思われるまでやっていきます!」と元気にDevSecOpsの重要性について解説した。 (上)JFrog Japan株式会社 デベロッパーアドボケイト Java女子部 JJUG 横田紋奈氏、(下)JFrog Japan株式会社 デベロッパー・アドボケイト 佐藤由久氏 ソフトウェアの推移的依存関係をどこまで把握できるか? まずはソフトウェアのサプライチェーンについて考えてみよう。簡単に言えば、ソフトウェアが本番環境にデプロイされ、ユーザーの元へ届くまでの一連の流れを指す。物流のサプライチェ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ソフトウェア開発におけるOSSライセンス管理のベストプラクティス