「経済産業省 ソフトウェア管理に向けた SBOM（Software Bill of Materials）の導入に関する手引き Ver. 1.0」を理解する

手引きの概要

令和５年７月２８日　経済産業省 商務情報政策局 サイバーセキュリティ課が発表した、SBOMの導入に関する基本的な情報の提供のためのドキュメント。
SBOMに関する基本的な情報提供も含んでいるが、サプライヤーの環境構築や体制整備も含んだ、SBOM導入プロセスとなっている。

SBOMに関する誤解と事実が含まれている点も良い点。

対象読者は、パッケージソフトウェアや組み込みソフトウェアに関するソフトウェアサプライヤーとなっている。

SBOM導入に向けたプロセスは下記の３フェーズで記載されている。

1. 環境構築・体制整備フェーズ
   1-1. SBOM適用範囲の明確化
   1-2. SBOMツールの選定
   1-3. SBOMツールの導入・設定
   1-4. SBOMツールに関する学習

2. SBOM作成・共有フェーズ
   2-1. コンポーネントの解析
   2-2. SBOMの作成
   2-3. SBOMの共有

3. SBOM管理・運用フェーズ
   3-1. SBOMに基づく脆弱性管理、ライセンス管理の実施
   3-2. SBOM情報の管理

本書を読んだ気付き

下記の点については、あまり考慮できていなかったところなので、学びになった。

1. SBOMの共有に当たって、SBOMデータの改ざん防止のた めの電子署名技術等の活用を検討する。
→情報システムとして捉えた場合、SBOM管理に対する脅威と対策について、考慮が十分じゃない

2. SBOMツールの解析ログ等を調査し、エラー発生や情報不 足による解析の中断や省略がなく、解析が正しく実行された かを確認する。
→SBOM生成ツールや取り込み時の挙動について正確に把握し、検知漏れや取り込み漏れが起こっていないことを保証すべき。大規模システムの場合、漏れが発生しやすい。

3.手引きでは、SBOM運用・管理フェーズで、脆弱性評価を実施しているが、製品開発やシステム構築時において、利用して評価すべきで、タイミングとしては遅いと思う。

4.コンポーネントのEOLを特定する必要がある
→脆弱性やライセンスは教科書的であるが、EOLは漏れがちなので、最初から把握できるよう設計する。