米CISA主導の「サイバーセキュリティのためのソフトウェア部品表（SBOM）の共有ビジョン」に日本も共同署名

「A Shared Vision of Software Bill of Materials (SBOM) for Cybersecurity」より

　国家サイバー統括室（NCO）と経済産業省は9月4日、経済産業省と米CISA（サイバーセキュリティ・インフラ安全庁）が主導する、ソフトウェアの脆弱性管理などにおけるSBOM（ソフトウェア部品表）の活用の重要性を示した国際ガイダンス「A Shared Vision of Software Bill of Materials （SBOM） for Cybersecurity」（サイバーセキュリティのためのソフトウェア部品表の共有ビジョン）に共同署名し、文書を公開した。日本語仮訳は追って公開される予定。

　SBOMとは、ソフトウェアの脆弱性を管理するために、ソフトウェアを構成する部品と、その依存関係などを一覧できるようにしたもの。設計段階から安全性を確保する「セキュア・バイ・デザイン」の考え方においては、ソフトウェアの製造業者が製品ごとにSBOMを構築・管理し、利用者がSBOMを利用できるようにすることが奨励されている。

　今回共同署名が行われた国際ガイダンスは、経済産業省と米CISAが2024年から準備を進めてきたもので、SBOMを活用することの重要性について、各国の共通認識を整理したもの。「SBOMとは何か」の定義に始まり、導入のメリット、ステークホルダーとその影響、セキュア・バイ・デザインにおけるSBOMの重要性、の、それぞれについてまとめられている。

　共同署名に参加したのは、日米に加え、ドイツ、フランス、イタリア、オランダ、カナダ、オーストラリア、ニュージーランド、インド、シンガポール、韓国、ポーランド、チェコ、スロバキアの15カ国。