ソフトウェアを構成するモジュールやライブラリ等のリストをSBOM(ソフトウェア部品表)という。OSS(オープンソースソフトウェア)の脆弱性を狙ったソフトウェアサプライチェーン攻撃などが増加している近年、それは、国家ならびに経済安保にかかるサイバーセキュリティ対策や企業のリスク管理に用いられる。
米国ではサイバーセキュリティ強化のための大統領令によるSBOMの作成("The Minimum Elements For a Software Bill of Materials (SBOM)")や脆弱性対策を義務付ける条項が付加され、日本でも経済産業省により「ソフトウェア管理に向けたSBOMの導入に関する手引」が発表されるなど、SBOMの導入はセキュリティ対策の強化策として捉えられているという。
NTTテクノクロスは、脆弱性管理を図るSBOMの導入及び運用を支援するコンサルティングを4月下旬に開始する。同社ではSBOMの把握や活用が求められるソフトウェア開発会社をはじめ、システムの保守運用を外部委託している企業やIT部門に向けて、SBOMのコンサルティングを展開していく。
今回新たに提供するコンサルティングでは、「SBOM導入支援」と「SBOM運用支援」を実施する。前者では、SBOM作成ツールの調査・選定をはじめ、ソースコードやバイナリコード(2進数に変換した機械語)からSBOMの作成代行や支援を行う。また、後者では、SBOMを可視化し、構成情報や脆弱性の管理を行うための環境構築とともに、検出された脆弱性の影響範囲の特定や対処方法など検討に関する運用支援を行う。
SBOMの導入・運用支援に努めるとともに、データ匿名化やセキュリティ診断、情報セキュリティポリシー策定などのセキュリティに関するコンサルティングメニューの拡充を図るという。同社は、SBOMに関する製品開発も進めていく構えだ。