2023/8/23

SBOMインポート機能をリリース

SBOMの生成・管理・運用をオールインワンで実現し、ソフトウェアサプライチェーンのセキュリティ強化を支援

これまで、SBOM標準フォーマットであるSPDX、CycloneDX、およびCSVでのエクスポート機能を提供していましたが、インポート機能が追加されることで、取引先やグループ会社から取得したSBOM形式のファイルを取り込むことが可能になります。これにより、yamory上でSBOMの生成・管理・運用を行うことができ、ソフトウェアコンポーネントの資産管理および脆弱性の一元管理を実現します。

世界的に普及が進むSBOM

SBOMとは、ソフトウェア部品表のことで、ソフトウェアサプライチェーンのなかで利用されているソフトウェア部品を正確に把握するための手法です。

ソフトウェアの依存関係とシステムレイヤーの複雑化が進むなか、サイバーセキュリティリスクの高まりや多発するインシデントを受け、米国では2021年5月にSBOMに関する大統領令が発令されました。また昨年9月には、EUから「サイバーレジリエンス法案」が公表されており、デジタル要素を備えた全ての製品を対象にSBOMの作成義務が求められるなど、世界的にSBOMの普及が進みつつあります。

日本国内においても、経済産業省に「サイバー・フィジカル・セキュリティ確保に向けたソフトウェア管理⼿法等検討タスクフォース」(ソフトウェアタスクフォース)が設置され、 産業分野ごとに実証実験を実施し、7月31日には「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引」(※1)が公表されるなど、SBOM導入に向けた取り組みが進んでいます。政府調達のソフトウェアに関しては、早ければ2024年にもSBOM提出が義務化される可能性もあり、今後国内においても様々な業界で対応が求められると考えられます。

※1 参照:経済産業省「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引」

SBOM導入のメリット

OSS活用の普及とともに、OSSをターゲットとしたサプライチェーン攻撃が急増しており、2021年には前年比650%増加するなど(※2)、サプライチェーンのセキュリティ対策は急務です。SBOMを導⼊していれば、あるコンポーネントにおいて脆弱性が明らかになった場合に、影響を即座に認識することができ、脆弱性対応にかかる期間を短縮することができます。また、脆弱性管理にかかるコストについて、医療機器分野における2022年度の実証では、SBOMを活⽤した場合に要する⼯数が、⼿動での脆弱性管理と⽐較して70%程度低減されることが確認されています。

※2 参照:Sonatype's 2021 State of the Software Supply Chain

yamoryのSBOM機能特徴

1.SBOM標準フォーマットに対応

ソフトウェアサプライチェーンの中で組織を越えてSBOMを共有するためには、データフォーマットを統一する必要があります。yamoryでは、SBOM標準フォーマットである「SPDX」「CycloneDX」のエクスポート・インポートに対応しているため、取引先やグループ会社間で統一したフォーマットでの共有が可能です。

2.ソフトウェア名称の表記揺れにも対応し、脆弱性の検出が可能

SBOMを作成する際に、企業間でソフトウェア名称やバージョンの付け方に表記ゆれが発生すると、自動スキャンツールによる脆弱性データベースとの突合が難しい場合があります。yamoryでは独自の脆弱性データベースおよび照合方法により、表記揺れにも対応することが可能です。また、取引先やグループ会社が他のツールで作成・エクスポートしたSBOMを受け取った場合でも、表記揺れに対応した上で脆弱性の検出を行うことができます。

3.脆弱性管理までオールインワンで実現

取引先・グループ会社から提出されたSBOMをインポートし、ITコンポーネント情報の一元管理が可能。オートトリアージ機能により、検出された脆弱性が対応優先度別に分類され、対応状況も可視化されます。SBOMの生成はもちろん、運用・管理までをオールインワンで実現することで、網羅的かつ効率的なサプライチェーンセキュリティマネジメントを可能にします。

「ソフトウェア管理に向けたSBOMの導入に関する手引」にて、国産ツールで唯一紹介

経済産業省が策定した本手引では、SBOMを導入するメリットやSBOMに関する誤解と事実などSBOMに関する基本的な情報を提供するとともに、SBOMを実際に導入するにあたって認識・実施すべきポイントが、(1)環境構築・体制整備フェーズ、(2)SBOM作成・共有フェーズ、(3)SBOM運用・管理フェーズと、フェーズごとに示されています。

SBOMの作成や運用・管理に資するSBOMツールの一例も紹介されており、yamoryは国産ツールとして唯一紹介されています。(P68)

https://www.meti.go.jp/press/2023/07/20230728004/20230728004-1-1.pdf

利用方法

インポート機能は「Enterpriseプラン」のオプション機能です。エクスポート機能は「CSIRT/PSIRTプラン」または「Enterpriseプラン」を利用いただくことで、追加オプションなどは発生せず利用可能です。

CONTACT

お問い合わせはこちら

サービスの詳細を
知りたい方

実際の操作を見ながら
運用をイメージしたい方

課題のヒアリングや
相談をご希望の方

ページトップへ戻る