SBOM(Software Bill of Material、「エスボム」と発音)は、ソフトウェア部品表のことで、ソフトウェアサプライチェーンのなかで利用されているソフトウェア部品を正確に把握するための手法です。
本コンテンツでは、SBOMが必要性が増している背景や直近の国内外の状況、具体的なSBOMの仕様について解説し、最後に脆弱性管理クラウド yamory を利用したSBOM対応方法を共有します。
様々な産業でソフトウェアやIT技術を利用する動きが進んでいますが、ソフトウェア開発の生産性向上のため、ソフトウェアを作る際に内部でOpen Source Software(OSS)などのソフトウェア部品を利用する事が当たり前になりました。しかし、ソフトウェアの構造が複雑になるにつれ、その状態を把握する事が非常に困難になっています。
ソフトウェア開発において、Open Source Software(OSS)などのソフトウェア部品を利用する事が当たり前になったというお話をしました。その構造をよく表した図を下記に示します。あるソフトウェアAがソフトウェアaを利用し、ソフトウェアaがソフトウェアfを利用するといった具合に、何階層にも依存関係をもつ構造を持ちます。通常のIT資産管理の対象では、一番上位のソフトウェア部品のみを管理しており、内部でどのようなソフトウェアが利用されているかは見えません。よって、内部で利用しているソフトウェア部品に脆弱性があっても、そのリスクを管理することは難しくなっています。