2024/5/8

SBOM（Software Bill of Materials）機能に関する技術について特許を取得したことをお知らせいたします。 （特許番号 ：特許第7470856号）

ソフトウェア名称の表記揺れや脆弱性情報との突合といったSBOMの課題を解決し、国内におけるSBOM推進、ソフトウェアサプライチェーンのセキュリティ向上に貢献してまいります。

SBOMとは、ソフトウェア部品表のことで、ソフトウェアサプライチェーンのなかで利用されているソフトウェア部品を正確に把握するために活用されます。

ソフトウェアの依存関係とシステムレイヤーの複雑化が進むなか、サイバーセキュリティリスクの高まりや多発するインシデントを受け、米国では大統領令が発令、EUでは「サイバーレジリエンス法案」が公表されるなど、世界的にSBOMの普及が進みつつあります。日本国内においても、SBOM導入に向けた取り組みが進んでおり、今後国内においても様々な業界で対応が求められると考えられます。

そこでyamoryでは、SBOM標準フォーマットであるSPDX、CycloneDXおよびCSVでのエクスポート機能およびインポート機能を提供しています。

SBOM運用においては下記のような課題が挙げられます。

• ソフトウェア名称の表記揺れが発生し、SBOMファイルのソフトウェア情報と脆弱性情報との突合が難しい。
• 一部、purl（Package URL）やCPEのようなソフトウェアを認識する方式が活用されるケースもあり、purlやCPEがある場合／ソフトウェア名称しかない場合、それぞれのパターンに対応したマッチング手法が必要。

ソフトウェアには世界的に活用されている統合IDがなく、ソフトウェア名称で認識する必要があるため、SBOMを作成する際に、企業間でソフトウェア名称やバージョンの付け方に表記ゆれが発生することが多く、SBOMファイルのソフトウェア情報と脆弱性データベースとの突合が難しくなります。

yamoryでは、独自のデータベースおよび照合方法により、表記揺れにも対応することができ、バージョン情報の突合も可能です。そのため、取引先やグループ会社が他のツールで作成・エクスポートしたSBOMを受け取った場合でも、表記揺れに対応した上で脆弱性の検出を行うことができます。

yamoryではソフトウェア名称の表記揺れに対応しているほか、パッケージ管理されているソフトウェアの場合にも、purlをキーとし、yamory独自の脆弱性データベースとマッチングします。そうすることで、ソフトウェア名称しかない場合、purlやCPEのようなソフトウェアを認識する方式が活用できる場合のいずれにおいてもSBOM情報と脆弱性情報の精度の高いマッチングを実現しています。

また、マッチングのトリアージには、オートトリアージ機能（特許第6678798号、特許第7008922号）に加え、KEVカタログ（※）も、リスク評価に使用しています。

※Known Exploited Vulnerabilities Catalog：攻撃リスク評価のためCISAが公表している悪用が確認された脆弱性リスト

今後も、yamory独自の機能開発および知財戦略に沿った特許取得を進め、安心してテクノロジーを活用できる世界を目指し、サービス向上に努めてまいります。