自動車や通信、医療、社会インフラなど、さまざまな業界の製品・サービス開発において、サプライチェーン全体でIT活用が前提となり、利便性の高いOSSは欠かせないものになっている。OSSはソースコードがインターネット上で公開されているため、サイバー攻撃を受けるリスクが高く、その脆弱性情報も日々更新され、公開されている。万が一、OSSを含むシステムがサイバー攻撃を受けてしまうと、その場所の特定や周囲への影響の把握、復旧までに膨大な時間が必要となり、経済的損失は莫大である。
そこで、システムを構成するモジュールやプログラムを一覧化し、OSSのバージョンやライセンスなどを可視化するSBOM(ソフトウェア部品表)が注目されている。しかしSBOMには、複数の標準フォーマットがあるほか、SBOM生成ツールごとの特性による差分などの影響で、一元管理することが難しいという課題がある。
株式会社日立ソリューションズは、SBOMを一元管理し、各種リスクの検知と対応、ベストプラクティスの適用や情報分析・活用をおこなうプラットフォーム「SBOM管理サービス」の販売を開始すると発表した。第一弾では、SBOMの一元管理、脆弱性情報の共有と管理の自動化を実現する。
同サービスでは、自社で作成したものやサプライヤーから提供されたものなど異なるツールで作成したさまざまな形式のSBOMを、ひとつのプラットフォームで一元管理することができ、更にサプライチェーンを構成する企業間で情報共有できるため、SBOM情報や脆弱性情報の共有とスムーズな連携が可能になる。
また、システムを構成するソフトウェア部品の識別情報(CPE)(※)とコンポーネントの紐づけを自動でおこない、その情報をもとにシステムに影響を及ぼす脆弱性を自動で検知することにより、システムに潜在する脆弱性情報の迅速な把握が可能になる。ユーザーが監視対象に設定したSBOMに問題が検出された場合は、脆弱性の詳細情報や影響度などの対応に必要な情報を通知する。
SBOMは、サイバーセキュリティ対策のほか、開発フェーズにおけるリスク対応のトレーサビリティやOSSの利活用分析など、さまざまな用途での活用が期待されている。また、企業内でのOSSの活用が活発化することにより、組織におけるOSSの推進を担う「OSPO(Open Source Program Office)」や、脆弱性インシデント対応をおこなうPSIRT(Product Security Incident Response Team)などの重要性が高まっていくことが予想される。
同サービスは今後、ライセンス違反などのコンプライアンス対応や、ISO/IEC 5230などの国際標準の適用支援、PSIRTシステムとの連携など様々な機能を追加し、SBOM活用推進とOSPOやPSIRTの業務効率化を図るとしている。
※ CPE:Common Platform Enumerationの略称。統一された命名規則に基づいた、情報システム、ソフトウェア、パッケージ、ハードウェア、アプリケーションに対する一意に識別可能な名称。
無料メルマガ会員に登録しませんか?
IoTに関する様々な情報を取材し、皆様にお届けいたします。