SBOMとは？中小企業のOSSリスク管理入門ソフトウェア部品表で実現するサプライチェーンセキュリティ

「うちのシステム、何が入っているかわかりますか？」という問いかけ

自社で利用しているシステムやアプリケーションに、どのようなソフトウェア部品が使われているか把握していますか。この質問に即答できる中小企業は、実はそれほど多くありません。本記事では、いま注目を集めている「SBOM（ソフトウェア部品表）」について解説します。SBOMとは何か、なぜ必要なのか、そして御社がどのように取り組むべきかを、具体的なアクションとともにお伝えします。

現代のソフトウェア開発では、OSS（オープンソースソフトウェア）の活用が当たり前になっています。経済産業省の調査によると、企業が開発するソフトウェアの90%以上にOSSが含まれているとされています。便利で開発効率を高めてくれるOSSですが、脆弱性が発見されたときに「どのシステムに影響があるのか」を把握できなければ、対応が後手に回ってしまいます。SBOMは、こうしたリスクに対処するための重要なツールとして、世界的に導入が進んでいます。

SBOMとは何か：ソフトウェアの「成分表示」

SBOMは「Software Bill of Materials」の略で、日本語では「ソフトウェア部品表」と訳されます。食品でいえば原材料表示、製造業でいえば部品表にあたるものです。ソフトウェアがどのようなコンポーネント（部品）で構成されているかを一覧化した文書であり、各部品のバージョン情報、ライセンス情報、依存関係などが記載されています。

たとえば、御社が利用している業務システムがあるとします。そのシステムは表面上は1つのアプリケーションに見えますが、内部では数十から数百のOSSライブラリが使われていることが珍しくありません。Webフレームワーク、データベース接続用のライブラリ、暗号化処理のモジュールなど、さまざまな部品が組み合わさって動作しています。SBOMは、こうした「見えない部品」をすべて可視化するための仕組みです。

IPAの「ソフトウェア管理に向けたSBOMの導入に関する手引」では、SBOMを「ソフトウェアを構成するコンポーネントの情報を機械的に処理可能な形式で一覧化したもの」と定義しています。ポイントは「機械的に処理可能」という点で、Excelで手作業で管理するのではなく、専用のツールで自動生成・自動チェックができる形式で管理することが想定されています。

なぜ今SBOMが注目されているのか

SBOMへの注目が高まった直接的なきっかけは、2021年5月に米国で発令された大統領令です。この大統領令では、連邦政府機関と取引するソフトウェアベンダーに対してSBOMの提供を求める方針が示されました。米国政府と取引のある企業はもちろん、そのサプライチェーンに含まれる日本企業にも影響が及ぶ可能性があります。

背景には、ソフトウェアサプライチェーン攻撃の増加があります。2020年に発生したSolarWinds社への攻撃では、同社のソフトウェア更新システムが悪用され、米国政府機関を含む多くの組織が被害を受けました。2021年に発見されたLog4j（ログフォージェイ）の脆弱性は、世界中のシステムに影響を与え、多くの企業が「自社システムにLog4jが使われているかどうか」の確認に追われました。

日本でも対応が進んでいます。経済産業省は2023年に「ソフトウェア管理に向けたSBOM（Software Bill of Materials）の導入に関する手引」を公開し、企業にSBOM導入を推奨しています。また、自動車業界ではUN-R155/156というサイバーセキュリティに関する国際基準への対応が求められており、SBOMの整備が実質的な要件となっています。

こうした流れを受けて、大企業だけでなく中小企業にもSBOM対応が求められる場面が増えています。取引先からSBOMの提出を求められたり、システム開発を発注する際にSBOM対応を条件とするケースが出てきています。

SBOM導入で何が変わるのか：3つのメリット

SBOMを導入することで、企業は具体的にどのようなメリットを得られるのでしょうか。ここでは3つの観点から解説します。

1つ目は、脆弱性対応の迅速化です。新しい脆弱性が発見されたとき、SBOMがあれば「自社のどのシステムに影響があるか」を即座に特定できます。Log4jの脆弱性が発見された際、SBOMを整備していた企業は数時間で影響範囲を把握できましたが、整備していなかった企業は数日から数週間かかったという報告があります。対応の遅れは、攻撃を受けるリスクを高めるだけでなく、取引先や顧客からの信頼低下にもつながります。

2つ目は、ライセンスコンプライアンスの確保です。OSSにはさまざまなライセンスが存在し、商用利用に制限があるものや、ソースコードの公開を求めるものがあります。知らずにライセンス違反を犯してしまうと、法的なリスクを負うことになります。SBOMでライセンス情報を管理することで、こうしたリスクを未然に防ぐことができます。

3つ目は、取引先との信頼関係構築です。前述のとおり、大企業を中心にサプライチェーン全体でのセキュリティ強化が進んでいます。SBOMを整備し、求められたときに速やかに提出できる体制を整えておくことは、取引継続や新規取引獲得において競争優位性となります。逆に対応できなければ、取引機会を失うリスクがあります。

SBOM導入の具体的なステップ

では、中小企業がSBOMに取り組むには、具体的に何から始めればよいのでしょうか。以下に、実践的な5つのステップを示します。

最初のステップは、現状把握です。自社で利用しているシステム、開発しているアプリケーションを棚卸しし、それぞれにどのようなOSSが使われているかを確認します。開発ベンダーに確認する、ソースコードを解析するなどの方法があります。まずは「何がわからないのかを把握する」ことが出発点です。

次のステップは、優先順位の決定です。すべてのシステムを一度にSBOM対応するのは現実的ではありません。顧客情報を扱うシステム、外部と接続するシステム、取引先から対応を求められているシステムなど、リスクや重要度に応じて優先順位をつけます。

3つ目のステップは、ツールの選定です。SBOMの生成には専用のツールを使用します。オープンソースのツールとしてはSyft、Trivy、CycloneDX Generatorなどがあり、商用ツールも多数存在します。自社の開発環境や予算に応じて適切なツールを選定します。

4つ目のステップは、運用プロセスの構築です。SBOMは一度作って終わりではなく、ソフトウェアの更新に合わせて継続的に更新していく必要があります。開発プロセスにSBOM生成を組み込む、定期的に脆弱性データベースと照合するなど、運用ルールを定めます。

5つ目のステップは、社内外への展開です。SBOM対応の取り組みを社内に周知し、必要に応じて取引先にも説明できる体制を整えます。経営層への報告方法、取引先への提出フォーマットなども整備しておくと、いざというときに慌てずに済みます。

よくある課題と対処法

SBOM導入を検討する中で、多くの企業が直面する課題があります。代表的なものとその対処法を紹介します。

「何から手をつければよいかわからない」という声はよく聞かれます。この場合、まずは1つのシステムを対象にパイロット的にSBOM生成を試してみることをおすすめします。実際にやってみることで、自社にとっての課題や必要なリソースが明確になります。

「開発ベンダーに依頼しても対応してもらえない」というケースもあります。ベンダー側にSBOMの知識や体制がない場合、契約更新時にSBOM対応を条件として明記する、対応可能なベンダーへの切り替えを検討するなどの対応が考えられます。

「コストがかかりそうで躊躇している」という懸念に対しては、段階的な導入を検討してください。まずは無償のオープンソースツールで始め、効果を確認してから本格的な投資を判断する方法があります。また、脆弱性対応の遅れによる損害やライセンス違反のリスクと比較して、投資対効果を評価することが重要です。

御社が今すぐ取り組むべきこと

SBOMへの対応は、もはや大企業だけの課題ではありません。サプライチェーン全体でのセキュリティ強化が求められる中、中小企業も無関係ではいられなくなっています。

まず、自社のシステムにどのようなOSSが使われているか、把握できているかを確認してください。把握できていなければ、それ自体がリスクです。次に、取引先からSBOM対応を求められる可能性があるか、業界動向を確認してください。自動車関連、医療機器、金融など、規制の厳しい業界との取引がある場合は、早めの対応が望ましいでしょう。

対応を先延ばしにすればするほど、いざというときの対応コストは増大します。今のうちから情報収集を始め、必要に応じて専門家の支援を受けながら、計画的に対応を進めていくことをおすすめします。

まとめ

SBOMは、ソフトウェアの「成分表示」として、OSS活用に伴うリスクを管理するための重要なツールです。米国の大統領令を契機に世界的に導入が進み、日本でも経済産業省が導入を推奨しています。脆弱性対応の迅速化、ライセンスコンプライアンスの確保、取引先との信頼関係構築など、具体的なメリットがあります。中小企業も、現状把握から始め、優先順位を決めて段階的に取り組むことで、無理なく対応を進められます。

SBOMの導入やOSSリスク管理について、具体的な進め方に迷われている方は、ぜひGXOにご相談ください。GXOは180社以上のシステム開発・DX支援の実績があり、御社の状況に合わせた最適な対応方法をご提案いたします。

お問い合わせはこちら