見出し画像

SBOM管理

Blue Sheep(構成管理のクラウドサービス)

構成アイテムに含まれるソフトウェア部品を管理できます。顧客に販売/設置した機器のサイバーセキュリティ対策を強化し、カスタマーサービスの付加価値向上を実現します。

IT化/DXの進展により、ITシステムやネットワーク接続機器を狙ったサイバー攻撃の被害が増加傾向にあります。これを受け、サイバーセキュリティ対策としての「SBOM管理」の必要性が急速に高まっています。

例えば医療業界では、国際医療機器規制当局フォーラム(以後、IMDRF)より、医療機器向けのサイバーセキュリティに関するガイダンス(以後、IMDRFサイバーセキュリティガイダンス)が発表されました。
日本もこの動きを受け、2023年の薬機法改正により、医療機器メーカーなどにおいて「SBOM(ソフトウェアBOM)」を含むサイバーセキュリティ対策が義務化されました。

Blue Sheepでは、ITシステムやネットワーク接続型機器を製造/販売/サポートする企業向けに、SBOM管理の機能を提供しています。こちらの記事は、Blue SheepでどのようにSBOM管理を実現できるのか、ご紹介していきます。

  • サプライチェーン全体、機器のライフサイクル全体を捉えたSBOM管理

SBOM管理に取り組む際に重要となるポイントの一つに、サプライチェーン全体を捉えることが挙げられます。これは、自社製品だけでなく、他社から仕入れた周辺コンポーネントも含めてSBOMを収集し管理しておくことが求められるということです(以下図のポイント①)。また、機器のライフサイクル全体を通して変更を捉え、SBOMを維持・更新し、最新のデータを基に適切な顧客対応(脆弱性への対策提案やバージョンアップ対応など)を行うことも重要です(以下図のポイント②)。

SBOM管理のイメージ

Blue Sheepでは、実際に顧客に販売した機器の構成管理データや変更管理データと関連付けてSBOMデータを管理することができるため、上記のイメージのようなライフサイクル全体での管理を実現することができます(以下、概念図を用いたBlue Sheepでの実現イメージ)。

Blue Sheepでの実現イメージ(概念図)

💡あわせて読みたい!
次世代ビジネスのスタンダードとなる「構成管理」の重要性とは!?
https://note.com/blue_sheep_/n/nd0fed0a998f3

  • SBOMへのEOL/EOS情報の一括更新

Blue Sheepでは、上記の概念図のように、SBOMをマスタと、顧客ごとのユニークなデータに分けて持つため、EOLやEOSの情報をマスタから一括で更新することができます。

マスタから一括配信のイメージ


以上、Blue SheepによるSBOM管理機能をご紹介しました。
SBOMはデータ量が多く、登録やメンテナンスの負荷が大きいですが、そこを極力省力化・自動化できる機能を、上記以外にも提供しています。
より詳細を知りたい方は、下記よりお問い合わせください。

Blue Sheep AppExchangeサイト(デモ視聴もこちらから!)