「SBOM管理ツール導入だけでは失敗する…」、日立製作所が語った8年の軌跡
- ありがとうございます!
- いいね!した記事一覧をみる
会員(無料)になると、いいね!でマイページに保存できます。
ソフトウェアのOSS利用が急激に増加する中、脆弱性やライセンス違反のリスクを見落とす企業は少なくない。無償で使えるOSSは利便性が高い半面、サイバー攻撃などの標的になりやすく、リスクがいつ顕在化するのかは見えにくい。その対応策として注目されるのがSBOMだが、管理ツールを導入しても、現場での活用が進まないケースは多い。日立製作所は2015年に専門組織を立ち上げ、現場定着などに向けた地道な取り組みを重ねてきた。では、具体的にどのような体制や施策を講じてきたのか。その方法論をひも解くため、取り組みに携わったキーパーソン2名に話を聞いた。
(Photo/Shutterstock.com)
世界で広がる「SBOM活用」の切実な背景
近年、企業の製品やサービスを支えるソフトウェアは、OSS(オープンソースソフトウェア)の活用が欠かせないものとなっている。開発効率を高める一方で、どのソフトウェアにどのOSSが使われているのかを正確に把握できていなければ、脆弱性やライセンス違反といったリスクを見落とす可能性が高まる。サイバー攻撃が高度化する中、こうした状態は事業継続や企業の信頼性に影響を及ぼしかねない。
その対応策の1つとして注目されているのが、SBOM(Software Bill of Materials:ソフトウェア部品表)である。SBOMはソフトウェアを構成する部品を一覧化したリストだ。米国の大統領令(2021年5月12日署名)や欧州のCRA(サイバーレジリエンス法、2024年12月10日発効)を背景に、国際的にも導入の動きが広がっている。
併せて、SBOMを徹底的に管理し、脆弱性の特定やライセンス情報の照合を効率的に行う体制や仕組みを整えることが重要となる。もっとも、SBOM管理ツールを導入したからといって、それだけでリスクを把握しきれるわけではない。SBOMはあくまで手段であり、どのように運用し、現場で使いこなしていくかが重要となる。
数多くのソフトウェア製品をグローバルに展開する日立製作所では、早い段階からSBOMの活用を進めてきた。SBOM管理ツールを導入した後、運用を進める中で2つの大きな課題に直面したという。ツールやルールを整備しただけでは解決できなかったその壁とは何だったのか。
その対応策の1つとして注目されているのが、SBOM(Software Bill of Materials:ソフトウェア部品表)である。SBOMはソフトウェアを構成する部品を一覧化したリストだ。米国の大統領令(2021年5月12日署名)や欧州のCRA(サイバーレジリエンス法、2024年12月10日発効)を背景に、国際的にも導入の動きが広がっている。
併せて、SBOMを徹底的に管理し、脆弱性の特定やライセンス情報の照合を効率的に行う体制や仕組みを整えることが重要となる。もっとも、SBOM管理ツールを導入したからといって、それだけでリスクを把握しきれるわけではない。SBOMはあくまで手段であり、どのように運用し、現場で使いこなしていくかが重要となる。
数多くのソフトウェア製品をグローバルに展開する日立製作所では、早い段階からSBOMの活用を進めてきた。SBOM管理ツールを導入した後、運用を進める中で2つの大きな課題に直面したという。ツールやルールを整備しただけでは解決できなかったその壁とは何だったのか。
この記事の続き >>
-
・日立がSBOMを運用して見えた「2つの課題」
・最重要の「現場定着」をどう進めたか?
・現場定着に“非常に”効果的だった「ヒヤリハット事例」
・OSSの管理は「誰が」担うか?
今すぐビジネス+IT会員に
ご登録ください。
すべて無料!今日から使える、
仕事に役立つ情報満載!
-
ここでしか見られない
2万本超のオリジナル記事・動画・資料が見放題!
-
完全無料
登録料・月額料なし、完全無料で使い放題!
-
トレンドを聞いて学ぶ
年間1000本超の厳選セミナーに参加し放題!
-
興味関心のみ厳選
トピック(タグ)をフォローして自動収集!
関連タグ
タグをフォローすると最新情報が表示されます
