2024/5/8

SBOM機能に関する特許取得

SBOM(Software Bill of Materials)機能に関する技術について特許を取得したことをお知らせいたします。 (特許番号 :特許第7470856号)

ソフトウェア名称の表記揺れや脆弱性情報との突合といったSBOMの課題を解決し、国内におけるSBOM推進、ソフトウェアサプライチェーンのセキュリティ向上に貢献してまいります。

特許を取得した機能について

SBOMとは、ソフトウェア部品表のことで、ソフトウェアサプライチェーンのなかで利用されているソフトウェア部品を正確に把握するために活用されます。

ソフトウェアの依存関係とシステムレイヤーの複雑化が進むなか、サイバーセキュリティリスクの高まりや多発するインシデントを受け、米国では大統領令が発令、EUでは「サイバーレジリエンス法案」が公表されるなど、世界的にSBOMの普及が進みつつあります。日本国内においても、SBOM導入に向けた取り組みが進んでおり、今後国内においても様々な業界で対応が求められると考えられます。

そこでyamoryでは、SBOM標準フォーマットであるSPDX、CycloneDXおよびCSVでのエクスポート機能およびインポート機能を提供しています。

SBOMの課題

SBOM運用においては下記のような課題が挙げられます。

  • ソフトウェア名称の表記揺れが発生し、SBOMファイルのソフトウェア情報と脆弱性情報との突合が難しい。
  • 一部、purl(Package URL)やCPEのようなソフトウェアを認識する方式が活用されるケースもあり、purlやCPEがある場合/ソフトウェア名称しかない場合、それぞれのパターンに対応したマッチング手法が必要。

特許のポイント

1.SBOMを利用した脆弱性管理の課題である表記揺れに対応

ソフトウェアには世界的に活用されている統合IDがなく、ソフトウェア名称で認識する必要があるため、SBOMを作成する際に、企業間でソフトウェア名称やバージョンの付け方に表記ゆれが発生することが多く、SBOMファイルのソフトウェア情報と脆弱性データベースとの突合が難しくなります。

yamoryでは、独自のデータベースおよび照合方法により、表記揺れにも対応することができ、バージョン情報の突合も可能です。そのため、取引先やグループ会社が他のツールで作成・エクスポートしたSBOMを受け取った場合でも、表記揺れに対応した上で脆弱性の検出を行うことができます。

2.SBOM情報と脆弱性情報のマッチング

amoryではソフトウェア名称の表記揺れに対応しているほか、パッケージ管理されているソフトウェアの場合にも、purlをキーとし、yamory独自の脆弱性データベースとマッチングします。そうすることで、ソフトウェア名称しかない場合、purlやCPEのようなソフトウェアを認識する方式が活用できる場合のいずれにおいてもSBOM情報と脆弱性情報の精度の高いマッチングを実現しています。

また、マッチングのトリアージには、オートトリアージ機能(特許第6678798号、特許第7008922号)に加え、KEVカタログ(※)も、リスク評価に使用しています。

※Known Exploited Vulnerabilities Catalog:攻撃リスク評価のためCISAが公表している悪用が確認された脆弱性リスト

今後も、yamory独自の機能開発および知財戦略に沿った特許取得を進め、安心してテクノロジーを活用できる世界を目指し、サービス向上に努めてまいります。

CONTACT

お問い合わせはこちら

サービスの詳細を
知りたい方

実際の操作を見ながら
運用をイメージしたい方

課題のヒアリングや
相談をご希望の方

ページトップへ戻る