ソフトウェア部品表(SBOM)
ソフトウェア部品表(SBOM) とは何ですか?
ソフトウェア部品表(SBOM)ソフトウェアを構成するコンポーネント・ライブラリ・依存関係を、バージョンや関係とともに機械可読な形で正式に列挙したインベントリ。
SBOM は、加工食品の原材料表に相当する位置づけのソフトウェア向け部品表です。オープンソースと商用のコンポーネント、推移的依存、バージョン、サプライヤー、ライセンスに加え、暗号学的ハッシュも記載することが多くあります。標準としては CycloneDX、SPDX、SWID が代表的です。SBOM は、脆弱性管理(CVE / KEV と稼働ソフトウェアの対応付け)、ライセンスコンプライアンス、インシデント対応(「Log4Shell の影響を受けるか」を素早く判断)、調達のデューデリジェンスを支えます。米国大統領令 14028、EU の Cyber Resilience Act、ENISA のガイドラインなど、政府向けや重要セクター向けソフトウェアには SBOM が要求される傾向が強まっています。先進的な現場では、CI/CD で SBOM を自動生成し、ビルドと併せて署名やアテステーションを行います。
● 例
- 01
ビルドのたびに CycloneDX SBOM を生成し、dependency-track にアップロードする運用。
- 02
規制対象 SaaS の調達契約に組み込んだ SBOM の交換条項。
● よくある質問
ソフトウェア部品表(SBOM) とは何ですか?
ソフトウェアを構成するコンポーネント・ライブラリ・依存関係を、バージョンや関係とともに機械可読な形で正式に列挙したインベントリ。 サイバーセキュリティの アプリケーションセキュリティ カテゴリに属します。
ソフトウェア部品表(SBOM) とはどういう意味ですか?
ソフトウェアを構成するコンポーネント・ライブラリ・依存関係を、バージョンや関係とともに機械可読な形で正式に列挙したインベントリ。
ソフトウェア部品表(SBOM) からどのように防御しますか?
ソフトウェア部品表(SBOM) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
ソフトウェア部品表(SBOM) の別名は何ですか?
一般的な別名: SBOM。