リスク用語

SBOM(ソフトウェア部品表)

SBOMは、ソフトウェアに含まれるすべてのコンポーネント、オープンソース、サードパーティ製ライブラリの完全なリストです。EUサイバーレジリエンス法(CRA)の遵守において不可欠なドキュメントであり、ISO/IEC 5081やNIST VEXに基づいたサプライチェーンリスク管理を可能にします。

提供:積穗科研股份有限公司

Q&A

SBOMとは何ですか?

SBOM(ソフトウェア部品表)は、ソフトウェアに含まれるすべてのコンポーネント、オープンソース、サードパーティ製ライブラリの完全なリストです。ISO/IEC 5081やNIST VEXなどの國際標準に基づき、ソフトウェアの透明性を確保するための重要なドキュメントです。EUサイバーレジリエンス法(CRA)においても、製品のコンプライアンスを証明するための必須要素として位置づけられています。企業はSBOMを通じて、ソフトウェアサプライチェーン內の脆弱性を迅速に特定し、リスクを管理することが求められます。

SBOMの企業リスク管理における実務的な活用方法とは?

SBOMの活用は、主に3つのステップで行われます。第一に、SCA(Software Composition Analysis)ツールを用いた自動生成によるコンポーネントの可視化。第二に、NIST NVD等の脆弱性データベースとの自動照合によるリスク特定。第三に、CVSSスコアに基づいた優先順位付けと修補アクションの実行です。2023年の調査では、SBOMを導入した企業は、脆弱性発見から修正までの平均時間(MTTR)を40%改善できたことが示されています。また、ライセンス違反による法的リスクを迴避する効果も確認されています。

臺灣企業がSBOMを導入する際の課題と対策は?

臺灣企業における主な課題は、①サプライヤーからの情報開示拒否、②CycloneDXやSPDXなど複數のフォーマットの混在、③専門人材の不足です。対策として、調達契約へのSBOM提出義務化、自動化ツールの導入、およびISO 27701に基づいた管理體制の構築が有効です。導入後90日間で基礎體制を構築し、1年以內に全製品羣への展開を目指すのが現実的なロードマップです。積穗科研股份有限公司(Winners Consulting Services Co., Ltd.)は、臺灣企業のEU市場參入を支援する専門的なコンサルティングを提供しています。

コンプライアンス導入のご支援が必要ですか?

無料診断を申請