NRIセキュア、脆弱性管理を目的としたSBOMの導入を支援する新サービスを提供

　NRIセキュアテクノロジーズ株式会社（以下、NRIセキュア）は30日、サプライチェーントラストサービスのラインアップに、ソフトウェア部品表（Software Bill Of Materials：SBOM）の導入を支援する「SBOM導入支援サービス」を提供開始すると発表した。

　「SBOM導入支援サービス」は、ソフトウェアを含む製品・サービスを開発・運用する企業に対して、脆弱性管理を目的としたSBOMの導入を支援するもの。製品・サービスの開発・運用プロセスへのSBOMの導入計画作成から、導入、PoC（Proof of Concept）、課題解決のためのアドバイザリまでを幅広くサポートするという。

　具体的には、製品やそれを構成するコンポーネントをもとに、SBOM生成の対象を整理しつつ、適切なSBOM生成ツールを選定・提案し、その導入やPoCを支援するほか、ソフトウェアと、それらを構成するコンポーネントを対象に、SBOMを活用した既知脆弱性の検出を可能にするSCA（ソフトウェア構成分析）ツールの導入も支援できるとした。

　また、製品・サービスの運用プロセスにおいては、ソフトウェアのリリース後に発生する新たな脆弱性を監視し、脆弱性が発生した際にはその影響範囲を特定して適切に対応することが求められる。これを支援するため、SBOMを活用したコンポーネント単位での脆弱性監視、脆弱性の影響範囲の特定を可能にする脆弱性監視ツールの導入や、脆弱性監視・対応プロセスの構築・強化をサポートするとのこと。

　このほか、要望に応じてPSIRTやCSIRTの構築・強化、SBOM関連の法規・ガイドラインの対応についても支援できるとしている。