2023/4/18

SBOM（Software Bill of Material）の標準フォーマットである「SPDX」と「CycloneDX」の出力対応を2023年4月18日より開始します。これにより、ソフトウェアサプライチェーンの中で組織を越えて SBOMを共有するための相互運用性が向上します。

SBOMとは、ソフトウェア部品表のことで、ソフトウェアサプライチェーンのなかで利用されているソフトウェア部品を正確に把握するための手法です。

ソフトウェアの依存関係とシステムレイヤーの複雑化が進むなか、サイバーセキュリティリスクの高まりや多発するインシデントを受け、米国では2021年5月にSBOMに関する大統領令が発令されました。大統領令では、ソフトウェアサプライチェーンセキュリティを向上するためのガイドラインや SBOM の最小要素の発行が命じられています。

日本国内においても、経済産業省に「サイバー・フィジカル・セキュリティ確保に向けたソフトウェア管理⼿法等検討タスクフォース」（ソフトウェアタスクフォース）が設置され、 SBOM導入に向けた議論が進むなど、今後普及が加速することが見込まれます。

 

ソフトウェアサプライチェーンの中で組織を越えて SBOM を共有するためには、データフォーマットを統一する必要があります。標準的なフォーマットとして、「SPDX」「CycloneDX」があり、米国大統領令においてもこれらのフォーマットを使用することが求められています。

yamoryではこれまで、ITコンポーネント情報をSBOM最小要素に対応した CSVファイルで出力することが可能でしたが、この度「SPDX」および「CycloneDX」の出力対応を開始いたします。標準フォーマットの出力に対応することで、特に大統領令によりSBOM共有が必須である米国の取引先への共有など、ソフトウェアサプライチェーンにおけるSBOMの相互運用性が高まります。

「CSIRT/PSIRTプラン」または「Enterpriseプラン」を利用いただくことで、追加オプションなどは発生せず利用可能です。