日立ソリューションズ、SBOMを利用して脆弱性管理を高度化する「SBOM管理システム」

　株式会社日立ソリューションズは、ソフトウェアサプライチェーンのセキュリティリスクを継続的に管理する「SBOM（ソフトウェア部品表）管理システム」を6月24日から提供開始すると発表した。

「SBOM管理システム」の活用イメージ

　「SBOM管理システム」は、サプライヤーごとの納品形式や生成ツールの違いによって構造・記述が異なるSBOMを一元管理し、識別子の自動付与、脆弱性の継続監視、影響検知によって、迅速な対応を実現するソリューション。機密性の高いSBOMデータを安全に管理できるため、製造業などの厳格な情報管理が求められる企業でも導入可能という。また、日本語と英語に対応し、グローバル組織での横断的な活用と継続的な運用を支援するとした。

　さらに、識別子（CPEなど）の自動付与によってソフトウェアと脆弱性情報を正確にひも付けでき、手作業が中心だった脆弱性確認業務を効率化可能。見逃し防止と継続的なリスク把握を実現し、迅速な対応判断を支援する。

　加えて、脆弱性データベースを継続監視し、新たな識別子に基づく影響が判明した際に自動で通知する機能も備えた。これにより、既存資産に対する新たなリスクの早期把握を支援できる。なお、オープンソースソフトウェア（OSS）に加え、COTS製品、プロプライエタリソフトウェアにも対応するとのこと。

　このほか、セキュリティ管理ツールやITSM（ITサービス管理）ツールとの連携により、脆弱性検出時の対応の優先順位付けや進捗管理を効率化できる点も特徴。PSIRT（Product Security Incident Response Team）業務の対応履歴を一元管理することで、継続的な運用の可視化とガバナンス強化を実現するとしている。

　なお、日立ソリューションズは、「SBOM管理システム」の有効性について、島津製作所、ヤマハの両社と共同で実証を行い、脆弱性管理業務の工数削減と運用効率化の面で高い評価を得たとのことだ。