ソフトウェア・サプライチェーンの強靭化を支援する「SBOM管理サービス」を販売開始

　自動車や通信、医療、社会インフラなど幅広い業界でオープンソースソフトウェア（OSS）が欠かせなくなる一方、OSSの脆弱性を狙うサイバー攻撃が増えています。欧米では政府が企業にSBOMを活用したセキュリティ対策を要請し、日本でも経済産業省主導でSBOM活用の手引書が作成され、SBOMに対する関心が高まっています。

　企業が取り扱うSBOMには、自社で作成したものやサプライヤーから提供されたものなど、さまざまなSBOMがあります。本サービスでは、これらのSBOMを一元管理し、最新の公開情報を元に脆弱性を自動検出し、セキュリティリスクを可視化します。サプライチェーン内の関係者が情報を共有し、セキュリティを担保しながら開発できるため、円滑な意思決定や生産管理、安全性の確保が可能です。また、手作業での業務量が課題だったコンポーネントと識別情報（CPE*2）の紐づけを自動化することで、一層の業務効率向上も支援します。

　日立ソリューションズは、グローバルにビジネス展開するお客さまとともにOSSやSBOMの活用にいち早く取り組み、経済産業省の実証事業にも参画しました。SBOMの導入から運用、脆弱性インシデント対応まで支援することで、ソフトウェア・サプライチェーン*3の強靭化を図り、企業のサステナビリティ・トランスフォーメーション（SX）に貢献します。

*1 Software Bill of Materialsの略称

*2 Common Platform Enumerationの略称。統一された命名規則に基づいた、情報システム、ソフトウェア、パッケージ、ハードウェア、アプリケーションに対する一意に識別可能な名称

*3 OSSを含むソフトウェア部品が開発・納品・利用され、組み立てられた最終製品がエンドユーザーに届くまでの一連の流れ

■背景

　自動車や通信、医療、社会インフラなど、さまざまな業界の製品・サービス開発において、サプライチェーン全体でIT活用が前提となり、利便性の高いOSSは欠かせないものになっています。OSSはソースコードがインターネット上で公開されているため、サイバー攻撃を受けるリスクが高く、その脆弱性情報も日々更新され、公開されています。万が一、OSSを含むシステムがサイバー攻撃を受けてしまうと、その場所の特定や周囲への影響の把握、復旧までに膨大な時間が必要となり、経済的損失は莫大です。そこで、システムを構成するモジュールやプログラムを一覧化し、OSSのバージョンやライセンスなどを可視化するSBOＭが注目されています。

　米国では、サイバーセキュリティ改善に関する大統領令で、政府機関に納品するソフトウェアについて原則としてSBOMの作成と提供を要請しており、EUでは、販売されるすべてのデジタル製品にSBOMを活用したセキュリティ対策を義務付ける「サイバーレジリエンス法（CRA：Cyber Resilience Act）」が2025年に施行される見込みです。日本でも、経済産業省が2022年から2023年にかけてSBOM活用に関する実証事業を実施しており、日立ソリューションズもアドバイザーとして参加しました。

　日立ソリューションズは、日立グループのOSS活用ガイドライン策定やOSS管理業務に携わると同時に、OSSやSBOMについて、導入前のコンサルティングからツール選定、社内ガイドラインの策定支援と社内体制の構築など、多面的かつトータルで支援する「ソフトウェア部品管理ソリューション」を、幅広い業界のお客さまに提供してきました。

　このたび、多くのお客さまの課題となっていた、企業が取り扱うSBOMをより有効活用するための施策として、「SBOM管理サービス」をラインアップに追加します。

■「SBOM管理サービス」の特長

1．さまざまな形式のSBOMをサプライチェーン内で共有し、迅速な意思決定とセキュリティの担保を実現

　SBOMには、複数の標準フォーマットがあるほか、SBOM生成ツールごとの特性による差分などの影響で、一元管理することが難しいという課題がありました。本サービスでは、異なるツールで作成したさまざまな形式のSBOMを、ひとつのプラットフォームで一元管理することができ、更にサプライチェーンを構成する企業間で情報共有できるため、SBOM情報や脆弱性情報の共有とスムーズな連携が可能になります。

2．製品やシステムの日々の脆弱性監視を自動化し、問題の検出時には詳細情報を通知

　システムを構成するソフトウェア部品の識別情報（CPE）とコンポーネントの紐づけを自動でおこない、その情報をもとにシステムに影響を及ぼす脆弱性を自動で検知することにより、システムに潜在する脆弱性情報の迅速な把握が可能になります。ユーザーが監視対象に設定したSBOMに問題が検出された場合は、脆弱性の詳細情報や影響度などの対応に必要な情報を通知します。

■今後について

　SBOMは、サイバーセキュリティ対策のほか、開発フェーズにおけるリスク対応のトレーサビリティやOSSの利活用分析など、さまざまな用途での活用が期待されています。また、企業内でのOSSの活用が活発化することにより、組織におけるOSSの推進を担う「OSPO（Open Source Program Office）」や、脆弱性インシデント対応をおこなうPSIRT（Product Security Incident Response Team）などの重要性が高まっていくことが予想されます。SBOM管理サービスは今後、ライセンス違反などのコンプライアンス対応や、ISO/IEC 5230などの国際標準の適用支援、PSIRTシステムとの連携など幅広い機能を追加し、SBOM活用推進とOSPOやPSIRTの業務効率化を通じて、お客さまのソフトウェア・サプライチェーンの強靭化を支援していきます。

■SBOMについて

　SBOM（Software Bill of Materials）とは、製品やサービスに含まれるソフトウェアを構成するOSSや商用ソフトウェアなどの情報をまとめたもので、日本語では「ソフトウェア部品表」や「ソフトウェア構成表」とも呼ばれます。コンポーネントの名称やバージョン、依存関係など複数の要素を一覧化します。

　URL：https://www.hitachi-solutions.co.jp/sbom/sp/solution/sbom/

■「ソフトウェア部品管理ソリューション」について

　SBOMとOSS管理に関するさまざまな課題を解決するため、多種多様なコンサルティングサービスおよびツール販売のメニューを取り揃えています。SBOMの作成から効率的な活用を可能にする仕組みや組織づくり、お客さまの事業と業務に合わせたガイドライン策定のコンサルテーションをはじめ、SBOMとOSSに関する教育、SBOMの作成代行、動向調査などを提供しています。そのほかにも、法令や規格遵守が必要な特定の業界向け支援をおこなっています。

　日立ソリューションズは、OSS管理における国際的な標準仕様の策定や推進をおこなうOpenChainプロジェクトの国内唯一のパートナー企業（2023年11月現在）です。経験豊富なプロフェッショナル人材による質の高いコンサルティングや、先進的なソリューション群とナレッジによるデジタルアクセラレーションで企業のDX加速を支援します。

　URL：https://www.hitachi-solutions.co.jp/sbom/sp/

■提供価格（税込）

年間サブスクリプション価格：330万円から

■販売開始日

2023年12月13日

■「SBOM管理サービス」のホームページ

　URL：https://www.hitachi-solutions.co.jp/sbom/sp/solution/lineup_tools/sbom_mgmt_service/

■日立ソリューションズの「デジタルソリューション創出プラットフォーム」について

　本サービスは、日立ソリューションズのサービス協創基盤「デジタルソリューション創出プラットフォーム」で提供しています。デジタルソリューション創出プラットフォームは、VMware社の「VMware Tanzu🄬」を採用しています。

　日立ソリューションズが長年培ってきたリーン開発などのノウハウを生かし、迅速な立ち上げから、カスタマーサクセスを実現する継続的な改善をお客さまとの協創で進め、お客さまのデジタルビジネスを強力に支援していきます。

■商品・サービスに関するお問い合わせ先

　URL：https://www.hitachi-solutions.co.jp/inquiry/products/form/

※記載の会社名、製品名は、それぞれの会社の商標もしくは登録商標です。

――――――――――――――――――――――――――――――――――――――――――――――――――

このニュースリリース記載の情報(製品価格、製品仕様、サービスの内容、発売日、お問い合わせ先、URL など)は、発表日現在の情報です。予告なしに変更され、検索日と情報が異なる可能性もありますので、あらかじめご了承ください。

――――――――――――――――――――――――――――――――――――――――――――――――――