ニュース
ソフトウェアを「作る人」と「使う人」の契約に盛り込むべき項目とは 経済産業省が資料公開:具体的な活用手順などを加えた「SBOM導入手引き」の改訂版
経済産業省は「ソフトウェア管理に向けたSBOMの導入に関する手引ver2.0」を公開した。2023年7月に策定した同手引書を改訂したもので、ソフトウェアの脆弱性管理にSBOMを活用する具体的手順などを新たに追加した。
経済産業省は2024年8月29日、「ソフトウェア管理に向けたSBOM(ソフトウェア管理表)の導入に関する手引ver2.0」を公開した。2023年7月に策定した同手引書を改訂したもので、ソフトウェアの脆弱(ぜいじゃく)性管理にSBOMを活用する具体的手順などを新たに追加している。
契約に規定すべき内容などを追加
同手引書はソフトウェアを提供(供給)する企業と調達する企業の双方を想定しており、SBOMを導入するメリットや導入に当たって認識、実施すべきポイントをまとめている。第2版となる今回は、2024年4月26日から同年5月27日に実施した意見公募で出た意見を基にした項目が追加されている。
主な追加内容は以下の3点。
脆弱性管理プロセスの具体化
ソフトウェアの脆弱性を管理する一連プロセスでSBOMを効果的に活用するための具体的な手順と考え方をまとめている。
「SBOM対応モデル」の追加
SBOM導入の効果とコストを勘案してSBOMを導入することが妥当な範囲を検討するためのフレームワークを示している。
「SBOM取引モデル」の追加
ソフトウェア部品の受発注において調達者と供給者の間でSBOMに関して契約に規定すべき事項(要求事項や責任、コスト負担、権利など)についての参考例を示している。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
Windows OSのシステム管理者も無関係じゃない、これから始めるSBOM
使用していたオープンソースのソフトウェアに使われていたライブラリに脆弱性があったことに気付かないでいたことで、攻撃を受けてしまったという事例が発生しています。これはLinuxだけでなく、Windows OSでも起こり得る事態です。こうしたリスクを軽減する方策として、SBOMと呼ばれるOSSのサプライチェーン管理の手法があります。今回はSBOMとはどういったものなのかについて解説します。
先進企業はOSSにどう取り組んでいる? OSPOとSBOMのリアルが学べる無料の電子書籍
人気連載を電子書籍化して無料ダウンロード提供する@IT eBookシリーズ。第120弾は、OSSの利用に欠かせないSBOMとOSPOについて解説し、取り組みを進める先進企業が現状と課題を語った連載を紹介します。
「経営者への説明付き」のSBOM導入手引書を公開 経済産業省
経済産業省は「ソフトウェア管理に向けたSBOMの導入に関する手引」を策定したと発表した。SBOMを導入する利点や実際に導入するに当たって実施すべきポイントをまとめた。