1. ホーム
  2. ニュースリリース
  3. ニュースリリースアーカイブ
  4. 2024年度8月一覧
  5. サイバー攻撃への備えを!「SBOM」(ソフトウェア部品構成表)を活用してソフトウェアの脆弱性を管理する具体的手法についての改訂手引を策定しました

サイバー攻撃への備えを!「SBOM」(ソフトウェア部品構成表)を活用してソフトウェアの脆弱性を管理する具体的手法についての改訂手引を策定しました

2024年8月29日

経済産業省は、2023年7月に、ソフトウェアを供給する企業と調達する企業の双方を想定読者として、SBOM(ソフトウェア部品表)を導入するメリットや実際に導入するにあたって認識・実施すべきポイントをまとめた手引書を策定しました。
その後も中小企業を含むあらゆる企業にとってSBOMをより効率的に活用できる方法等の検討を継続し、今般、今年4月26日から5月27日に実施した意見公募で頂いた御意見を踏まえて本手引書の改訂版を策定しましたので、公表します。
具体的には、(1)ソフトウェアの脆弱性を管理する一連プロセスにおいてSBOMを効果的に活用するための具体的な手順と考え方、(2)SBOM導入の効果及びコストを勘案して実際にSBOMを導入することが妥当な範囲を検討するためのフレームワーク、(3)委託先との契約等においてSBOMに関して規定すべき事項(要求事項、責任、コスト負担、権利等)を追加しています。

1.背景・趣旨

近年、ソフトウェアの脆弱性管理に関し、ソフトウェアの開発組織と利用組織双方の課題を解決する一手法として、「ソフトウェア部品表」とも呼ばれるSBOM(Software Bill of Materials)を用いた管理手法が注目されています。米国サイバーセキュリティ・インフラ安全庁(CISA)等が策定し、我が国政府も共同署名をしたセキュア・バイ・デザイン(IT 製品(特にソフトウェア)が、設計段階から安全性を確保されていること)の考え方においては、ソフトウェアの製造業者が製品ごとにSBOMを構築・管理し、ユーザーがSBOMを利用できるようにすることが奨励されています。
経済産業省では、SBOMの企業による活用を推進しており、企業がSBOMを導入するメリットや実際に導入するにあたって実施すべきポイントをまとめた手引書を「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引ver1.0」として2023年7月に公表しました。
中小企業も含め、あらゆる企業にとってSBOMをより効率的に活用できる方法等について、「産業サイバーセキュリティ研究会ワーキンググループ1(制度・技術・標準化)サイバー・フィジカル・セキュリティ確保に向けたソフトウェア管理手法等検討タスクフォース」において検討を進め、今年4月26日から5月27日に実施した意見公募で頂いた御意見を踏まえ必要な修正を行い、同ソフトウェアタスクフォースで了承を得た上で、今般、「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引ver2.0」を策定しました。

2.「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引ver2.0」の概要

「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引ver2.0」は、ソフトウェアを供給する企業と調達する企業の双方を想定読者としています。2023年7月に公表した「ソフトウェア管理に向けたSBOMの導入に関する手引ver1.0」の内容に加えて、以下の内容を盛り込んでいます。

(1)脆弱性管理プロセスの具体化(第7章)

SBOMを活用することで、ソフトウェアの脆弱性管理を通じた脆弱性リスクの低減が効果として見込まれていることから、SBOMを活用するプロセスの中でも、脆弱性管理に関するフェーズが特に重要です。本章では、ソフトウェアの脆弱性を管理する一連プロセスにおいてSBOMを効果的に活用するための具体的な手順と考え方をまとめることで、SBOM活用による効果を高めるための参考情報を提供しています。

(2)「SBOM対応モデル」の追加(8.付録)

本モデルでは、SBOM導入の効果及びコストを勘案して実際にSBOMを導入することが妥当な範囲を検討するためのフレームワークを示しています。当該フレームワークを用いることで、高度な管理を行えるソフトウェア、すなわちセキュアなソフトウェアが市場に適切に評価され、その流通が促進されることが期待できます。

(3)「SBOM取引モデル」の追加(9.付録)

本モデルでは、ソフトウェア部品の受発注において、調達者と供給者の間でSBOMに関して契約に規定すべき事項(要求事項、責任、コスト負担、権利等)について参考となる例を示しています。

関連資料

関連リンク

担当

商務情報政策局 サイバーセキュリティ課長 武尾
担当者:飯塚、関戸
電話:03-3501-1511(内線3964)
メール:bzl-cyber-madoguchi★meti.go.jp
※[★]を[@]に置き換えてください。