ソフトウェア管理に向けたSBOM(Software Bill of Materials)の
導入に関する手引き Ver.1.0の公表
アンダーソン・毛利・友常法律事務所*
弁護士・カリフォルニア州弁護士 井 上 乾 介
弁護士 中 島 滉 平
1 はじめに
近年、ソフトウェアの脆弱性が企業活動に甚大な影響を及ぼしているところ、ソフトウェアの脆弱性管理の一手法として、SBOM(Software Bill of Materials、ソフトウェア管理部品表)が注目を集めている。SBOMとは、ソフトウェアのコンポーネントの作成者・作成時期のほか、コンポーネント間の依存関係等を示した一覧表であり、世界的にSBOMを導入企業が増加しているほか、医療機器分野など、一部の分野では規制や制度化が検討され始めている。[1]
このような状況を踏まえ、経済産業省は、本年7月28日、「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引きVer.1.0」(以下「本手引き」という。)を公表した[2]。本稿では、本手引きの概要とその実務上の重要性について概説する。
2 本手引きの概要
⑴ SBOMの概要
SBOMのごく簡単なイメージは下表のとおりである。
| ID | サプライヤー名 | コンポーネント名 | コンポーネントのバージョン | その他の一意の識別子 | 依存関係 | SBOM作成者 | タイムスタンプ |
| 1 | Company A | Application | 1.1 | 234 | Primary | Company A | 05-09-2022 13:00:00 |
| 2 | Company B | Browser | 2.1 | 334 | Included in #1 | Company B | 04-18-2022 15:00:00 |
| 3 | Mr. C | Compression Engine | 3.1 | 434 | Included in #2 | Company A | 05-09-2022 13:00:00 |
| 4 | Community P | Protocol | 2.2 | 534 | Included in #1 | Company A | 05-09-2022 13:00:00 |
出典:本手引き10頁 表2-1「簡易シナリオにおける SBOMの概念的イメージ」[3]
SBOMの導入によるメリットは、脆弱性管理のほか、ライセンス管理、開発生産性の向上に資すること等が挙げられる。
この中でも特に強調されているのは、脆弱性管理にかかるメリットである。近年では、多くのソフトウェアが複雑なサプライチェーンの下におかれ、自社開発のコンポーネントのみならず、他社が開発したコンポーネントやオープンソースコンポーネントが含まれることもあり、複雑な依存関係・階層構造を有する場合が多い。このような状況でソフトウェアの脆弱性のリスクを低減するためには、脆弱性の管理を継続的かつ有効に実施する必要がある。
SBOMを作成することにより、あるコンポーネントの脆弱性が判明した場合に、それによって影響を受けるコンポーネントが明らかになり、インシデントに迅速に対応することが可能になる。
また、SBOMを組織間で共有すれば、ソフトウェアサプライチェーンの透明性を確保することもでき、脆弱性管理にかかる時間・コストを削減することが可能となる。
この記事はプレミアム向け有料記事です
ログインしてご覧ください
(いのうえ・けんすけ)
アンダーソン・毛利・友常法律事務所外国法共同事業 スペシャル・カウンセル。2004年一橋大学法学部卒業。2007年慶応義塾大学法科大学院卒業。2008年弁護士登録(東京弁護士会)。2016年カリフォルニア大学バークレー校・ロースクール(LLM)修了。2017年カリフォルニア州弁護士登録。著作権法をはじめとする知的財産法、個人情報保護法をはじめとする各国データ保護法を専門とする。
(なかしま・こうへい)
アンダーソン・毛利・友常法律事務所外国法共同事業アソシエイト。2020年早稲田大学法学部卒業。2022年弁護士登録(東京弁護士会)。
<事務所概要>
アンダーソン・毛利・友常法律事務所外国法共同事業は、日本における本格的国際法律事務所の草分け的存在からスタートして現在に至る、総合法律事務所である。コーポレート・M&A、ファイナンス、キャピタル・マーケッツ、知的財産、労働、紛争解決、事業再生等、企業活動に関連するあらゆる分野に関して、豊富な実績を有する数多くの専門家を擁している。国内では東京、大阪、名古屋に拠点を有し、海外では北京、上海、香港、シンガポール、ホーチミン、バンコク、ジャカルタ等のアジア諸国に拠点を有する。
<連絡先>
〒100-8136 東京都千代田区大手町1-1-1 大手町パークビルディング
* 「アンダーソン・毛利・友常法律事務所」は、アンダーソン・毛利・友常法律事務所外国法共同事業および弁護士法人アンダーソン・毛利・友常法律事務所を含むグループの総称として使用