日立ソリューションズ、ソフトウェア部品表を一元管理する「SBOM管理サービス」を提供

　株式会社日立ソリューションズは13日、SBOM（ソフトウェア部品表／エスボム）を一元管理し、各種リスクの検知と対応、ベストプラクティスの適用や情報分析・活用を行うプラットフォーム「SBOM管理サービス」を販売開始した。第一弾では、SBOMの一元管理、脆弱性情報の共有と管理の自動化を実現する。

　自動車や通信、医療、社会インフラなど幅広い業界でオープンソースソフトウェア（OSS）が欠かせなくなる一方、OSSの脆弱性を狙うサイバー攻撃が増えている。欧米では政府が企業にSBOMを活用したセキュリティ対策を要請し、日本でも経済産業省主導でSBOM活用の手引書が作成され、SBOMに対する関心が高まっている。

　SBOM管理サービスは、企業が取り扱うSBOMについて、自社で作成したものや、サプライヤーから提供されたものなど、さまざまなSBOMを一元管理し、最新の公開情報を元に脆弱性を自動検出して、セキュリティリスクを可視化する。

SBOM管理サービスのイメージ図

　SBOMには、複数の標準フォーマットがあるほか、SBOM生成ツールごとの特性による差分などの影響で、一元管理することが難しいという課題があった。サービスでは、異なるツールで作成したさまざまな形式のSBOMを、ひとつのプラットフォームで一元管理でき、さらにサプライチェーンを構成する企業間で情報共有できるため、SBOM情報や脆弱性情報の共有とスムーズな連携が可能になる。

　システムを構成するソフトウェア部品の識別情報（CPE）とコンポーネントのひも付けを自動で行い、その情報を元にシステムに影響を及ぼす脆弱性を自動で検知することにより、システムに潜在する脆弱性情報の迅速な把握が可能になる。ユーザーが監視対象に設定したSBOMに問題が検出された場合は、脆弱性の詳細情報や影響度などの対応に必要な情報を通知する。

　サプライチェーン内の関係者が情報を共有し、セキュリティを担保しながら開発できるため、円滑な意思決定や生産管理、安全性を確保できる。また、手作業での業務量が課題だったコンポーネントと識別情報（CPE）のひも付けを自動化することで、一層の業務効率向上も支援する。

　日立ソリューションズでは、SBOMはサイバーセキュリティ対策のほか、開発フェーズにおけるリスク対応のトレーサビリティやOSSの利活用分析など、さまざまな用途での活用が期待されており、また、企業内でのOSSの活用が活発化することにより、組織におけるOSSの推進を担う「OSPO（Open Source Program Office）」や、脆弱性インシデント対応を行うPSIRT（Product Security Incident Response Team）などの重要性が高まっていくことが予想されると説明。SBOM管理サービスは今後、ライセンス違反などのコンプライアンス対応や、ISO/IEC 5230などの国際標準の適用支援、PSIRTシステムとの連携など幅広い機能を追加し、SBOM活用推進とOSPOやPSIRTの業務効率化を通じて、顧客のソフトウェアサプライチェーンの強靭化を支援していくとしている。