KDDIなど5社、セキュリティ強化を目的に通信分野へのSBOM（ソフトウェア部品表）導入に向けた実証事業に着手

　KDDI株式会社、株式会社KDDI総合研究所、富士通株式会社、日本電気株式会社（以下、NEC）、株式会社三菱総合研究所（以下、MRI）の5社は1日、サイバーセキュリティの強化を目的に、5GやLTEネットワーク機器などを対象例とした通信分野に対し、ソフトウェアを構成する部品などを記載したリスト「SBOM（Software Bill of Materials）」の導入に向けた実証事業に着手すると発表した。

　実証事業は、KDDIが5月11日に総務省から「通信分野におけるSBOMの導入に向けた調査の請負」を受託したことを受け、取り組むもの。5社は本事業に取り組む体制を構築し、7月31日のキックオフミーティング開催を経て、SBOMの技術面・運用面の課題を整理する調査を本格的に開始する。

　事業の背景としては、通信システムに求められる機器の高度化・多様化・オープン化に伴い、通信システム内の基幹ソフトウェアの構成は、ソフトウェア部品の単純な組み合わせから、オープンソースソフトウェア（OSS）などのソフトウェア部品による複雑な組み合わせへと変化していると説明。一方で、ソフトウェアサプライチェーンの変化により、OSSを含むソフトウェア部品に対して悪意のあるコードの混入や脆弱性を狙ったサイバー攻撃などが発生しており、脆弱性が確認された際の迅速な対応には、ソフトウェアを構成するさまざまな部品の一覧やバージョン情報、部品同士の依存関係などをまとめた、SBOMの重要性が急速に高まっているという。

　こうした状況を受け、実証事業では、SBOMを活用したソフトウェアサプライチェーンの把握による、脆弱性などへの迅速な対応の実現に向けた調査・検討を行う。

　国内外の動向調査および通信分野へのSBOM導入に向けたガイドライン案の検討では、国内外の行政機関や民間団体などによるSBOMに関係した取り組みや既存ガイドラインを調査し、通信機器および当該機器のソフトウェア部品のSBOMを作成・活用するためのガイドライン案を検討する。

　通信機器に対するSBOMの作成と課題整理では、事業を通じて、通信事業者が実際に運用している設備の一部を対象としてSBOMを作成する。

　通信機器に対するSBOMの精度評価では、作成したSBOMと、ツールで作成したSBOMの比較評価により、精度評価や通信分野において着目すべき項目について分析することで、SBOMの導入に向けた課題を整理する。

　事業において、全体統括をKDDIが担い、国内外の動向調査および通信分野へのSBOM導入に向けたガイドライン案の検討はMRIが、通信機器に対するSBOMの作成と課題整理は富士通とNECが、通信機器に対するSBOMの精度評価はKDDIとKDDI総合研究所がそれぞれ担当する。

　5社は、サイバーセキュリティを取り巻くさまざまな環境変化が予見される中、顧客の生活を支える通信サービスの安定提供のために、今後もサイバーセキュリティの強化に向け貢献していくとしている。

取り組みの全体像