SBOM導入支援コンサルティングを開始

• 背景

SBOMとはソフトウェアを構成する部品などを記載したリストを指し、脆弱性などのリスク管理に用いられるものです。近年、ソフトウェアで使用されるOSS（*2）の脆弱性を狙ったソフトウェアサプライチェーン攻撃（*3）などが増加しています。米国ではサイバーセキュリティ強化のための大統領令（*4）によるSBOMの作成や脆弱性対策を義務付ける条項が付加され、日本でも経済産業省により手引（*5）が発表されるなど、SBOMの導入はセキュリティ対策の強化策として捉えられています。

これらを背景に、NTTテクノクロスではSBOMの把握や活用が求められるソフトウェア開発会社をはじめ、システムの保守運用を外部委託している企業や企業のIT部門に向けて、SBOMのコンサルティングを展開していきます。

SBOMの可視化によるメリット

• コンサルティングの概要

・SBOM導入支援

SBOM作成ツールの調査、選定をはじめ、ソースコードやバイナリコード（*6）からSBOMの作成代行や支援を行います。

・SBOM運用支援

SBOMを可視化し、構成情報や脆弱性の管理を行うための環境構築とともに、検出された脆弱性の影響範囲の特定や対処方法など検討に関する運用支援を行います。

• 今後の展開

SBOMの導入・運用支援に努めるとともに、データ匿名化やセキュリティ診断、情報セキュリティポリシー策定などのセキュリティコンサルティングメニュー（*7）の拡充を図ります。加えて、SBOMに関する製品開発を進めていきます。

• 用語解説・注釈

*1：「SBOM」とは、Software Bill of Materialsの略称です。ソフトウェアがどのような部品（モジュール、ライブラリなど）から成り立っているかを一覧できるリストのことです。

*2：「OSS」とは、Open Source Softwareの略称です。誰でも閲覧・変更ができるソースコード（プログラムの元となるコード）のことです。

*3：「ソフトウェアサプライチェーン攻撃」とは、ソフトウェアの製造段階やアップデートプログラムなどに不正コードを埋め込み、標的組織に侵入するサイバー攻撃のことです。

*4：「サイバーセキュリティ強化のための大統領令」とは、2021年7月にNTIA（米国商務省電気通信情報局）が発表したガイドラインです。 （https://www.ntia.gov/report/2021/minimum-elements-software-bill-materials-sbom）

*5：「SBOMの導入に関する手引」とは、経済産業省がSBOMを導入するメリットや実際に導入するにあたって認識・実施すべきポイントをまとめた「ソフトウェア管理に向けたSBOMの導入に関する手引」のことです。（https://www.meti.go.jp/press/2023/07/20230728004/20230728004.html）

*6：「バイナリコード」とは、ソースコードを変換した、コンピュータが解釈できる機械語のことです。

*7：https://www.ntt-tx.co.jp/products/security-consulting/