日経クロステックNEXT 東京 2024「ソフトウエア脆弱性の把握に効くSBOM、サプライチェーンで導入すべき理由」

『日経テクノロジー展望2024 世界を変える100の技術』は日経BPの専門誌編集長・ラボ所長が有望技術100件を厳選し、専門誌記者らの取材を基に分かりやすく解説した一冊だ。「日経クロステックNEXT 東京 2024」（2024年10月10～11日、東京国際フォーラム）では同書と連動した講演を行い、専門誌記者らがキーワードに関する最新動向を解説する。そのテーマの1つ、SBOM（Software Bill of Materials、ソフトウエア部品表＝エスボム）を取り上げる。

　SBOMとは、パッケージソフトウエアやデジタル機器向け組み込みソフトウエアについて、個々の要素や要素間の関係性を一覧化するソフトウエア管理の手法のことだ。ソフトウエア部品表とも呼ばれる。昨今はソフトウエアの脆弱性などセキュリティーリスクの把握や対処を効率的に進める手段としても注目を浴びている。SBOMを導入することで、ソフトウエアに含まれる部品に脆弱性が見つかった際の影響の有無や範囲などを特定するのにかかる時間を短縮できる。

　ポイントになるのは、1社だけでなくサプライチェーンに携わる複数社でSBOMを作成すること。各社が担当範囲のSBOMを作成し組み合わせていくことで、完成品の構成要素を正確に把握できるようになるからだ。

　SBOMの導入機運が高まっているのは、世界的な潮流を受けてのことだ。契機は2021年5月に米バイデン大統領が署名した「国家のサイバーセキュリティーの改善に関する大統領令」。米国企業のサイバー攻撃被害に対応したもので、政府機関が調達するソフトウエアを対象にSBOMの作成や提供を求めた。同年7月には米商務省国家電気通信情報局（NTIA）がSBOMに最低限必要な要素を公表。これらの内容が事実上の世界標準となっている。

　日経クロステックNEXT 東京 2024の講演「【日経テクノロジー展望2025 世界を変える100の技術】押さえておきたいサプライチェーンのDXトレンド！SBOMやデータ連携基盤を30分で解説」では、SBOMと経済産業省が主導する「ウラノス・エコシステム」について解説する予定だ。