ソフトウェア部品管理ソリューションの導入事例

株式会社三菱総合研究所様

背景

SBOMの効果的な活用モデルの検討に着手

1970年に三菱創業100周年記念事業として設立された株式会社三菱総合研究所（以下、三菱総研）は、幅広い領域で、社会とお客さまの課題を総合的に解決する国内大手シンクタンクグループです。数多くの官公庁案件に携わる同社では、社会課題に対する解決策を導き出し、実証実験を重ねながら制度設計を進め、社会実装に向けた各種支援を行っています。

経済産業省が進める実証実験「SBOMを導入・活用するサプライチェーンモデルの構築に向けた調査・実証事業（以下、SBOM実証）」への参画もその一つです。昨今、ソフトウェアサプライチェーンの複雑化を背景に、セキュリティを確保するための管理手法としてソフトウェア部品管理表「SBOM」が注目を集めています。経済産業省でも、委員会形式で当該分野の有識者や事業者により議論が重ねてられてきましたが、SBOM導入の効果やコストを明確にしない限り産業界への定着化は難しいとの見解に到達し、現在はSBOM普及の本格化に向けて実証実験を進めています。

取り組み

豊富な業種・業務知識とSBOM領域での実績に期待

先進技術・セキュリティ事業本部 サイバーセキュリティ戦略グループ 特命リーダー
石黒 正揮 氏

三菱総研は、実証実験の参加企業に対する技術支援を行う日立ソリューションズと協力。

「実態に根差した実証実験を行ううえでは、産業分野ごとに異なるリスクや法制度、各社の開発環境など、さまざまな制約条件や前提条件の理解が必要になります。企業によっては必ずしもSBOMに関する経験や技術が十分ではないため、そうした異なる条件に応じた適切なツールや管理のあり方を提案できることが重要になります」

こうして2022年6月に始動したプロジェクトは、翌年3月までの約10カ月をかけて進行。日立ソリューションズは、経済産業省の実証事業の参加企業3分野6社に対し、SBOMツールの選定支援および提供、ツール利用時の技術支援などを実施しました。

効果

SBOM導入に関する実践的な手引書を完成

今回の実証実験の重要な成果物の一つは、SBOM導入に向けた主な実施事項およびSBOM導入にあたって認識しておくべきポイントをまとめた「ソフトウェア管理に向けたSBOMの導入に関する手引Ver1.0」です。レビューにかかわった日立ソリューションズは、ソフトウェア管理分野におけるこれまでの実績と経験を踏まえ、実運用に即した具体的かつ実践的な手引書の作成に貢献しました。

「アウトプットは、ほかの企業の取り組みにおいても有益な情報でなければならないため、特にSBOMの導入コストや運用効果の評価は非常に難しかったですね。まだまだSBOMに馴染みのない企業は多く、自力で導入を進めるにはハードルが高いのも事実です」と石黒氏は振り返ります。

特に定着化支援はツールの普及を左右する重要なカギを握ります。初めてSBOMツールに触れる参加企業の「うまく動作しない」「エラーが発生する」といった問い合わせに対しては、その都度エラーログの解析から原因を特定するなど問題解決を支援しました。

手引書にまとめられたSBOMの導入プロセス（概要）

出典：経済産業省「ソフトウェア管理に向けたSBOMの導入に関する手引」概要資料

展望

ガイドラインをベースに実運用へ加速

2022年度の実証実験の成果を踏まえて、2023年度は新たに「脆弱性管理」にフォーカス。SBOMを活用した脆弱性管理の効率的な方法について検討し、その効果の評価、課題の整理を行うことを目的として次の実証実験の準備が進んでいます。

「国の事業として、ガイドラインの作成自体はゴールではなく、それを活用することで民間分野に効果が出る形でSBOMの活用を根付かせることが目標です。次の段階として、より広く展開していくにあたり、産業分野ごとのガイドライン策定が想定されています」と石黒氏。

米国ではすでに標準化の流れもあるSBOMは、今後日本でも、企業にとって対応必須の課題となっていくことは間違いありません。実証実験の成果をもって、実運用に向けた動きがますます本格化することになりそうです。

日立ソリューションズのコンサルティングの特長

効果的に活用するための仕組みづくりを支援

• 多数の主要SBOMツールを取り扱う国内代理店として豊富なノウハウを提供
• お客さまの目的に合わせて管理に必要なSBOMの項目を定義しデータを収集
• 豊富なツールラインアップ・実績あるコンサルティングでお客さまの多様な課題に柔軟に対応
• 実績に培われた現場力でSBOMの作成から運用までワンストップでサポート