NTTテクノクロスは、ソフトウェア脆弱性の管理を目的に、SBOM(ソフトウェア部品表)の導入と運用を支援するコンサルティングサービスを2024年4月下旬から提供する。以降、データ匿名化、セキュリティ診断、ポリシー策定など、情報セキュリティ関連のコンサルティングメニューを拡充する。
SBOM(Software Bill of Materials:ソフトウェア部品表、エスボム)は、ソフトウェアを構成する部品を記載したリストであり、脆弱性などのリスク管理に用いる。NTTテクノクロスは、ソフトウェア脆弱性の管理を目的に、SBOMの導入と運用を支援するコンサルティングサービスを2024年4月下旬より開始する(図1)。
図1:SBOMを可視化することによる主なメリット(出典:NTTテクノクロス)拡大画像表示
「近年、システム/アプリケーションで利用するオープンソースソフトウェア(OSS)に内在する脆弱性を狙ったソフトウェアサプライチェーン攻撃が増えている。米国ではサイバーセキュリティ強化のための大統領令によるSBOM作成や脆弱性対策を義務づける条項が付加され、国内でも経済産業省が『ソフトウェア管理に向けたSBOMの導入に関する手引』を公開するなど、セキュリティ強化策としてのSBOMの活用を促している」(NTTテクノクロス)
コンサルティングでは、SBOMの導入支援フェーズとして、ユーザーに合わせてSBOM作成ツールの調査・選定、ユーザーが管理するソースコードやバイナリコードを基にしたSBOMの作成および作成代行を行う。
運用フェーズでは、SBOMを可視化して構成情報や脆弱性を管理するためのシステム環境を構築する。加えて、検出した脆弱性の影響範囲を特定して対処方法を検討するなど日々の運用を支援する。
NTTテクノクロスは、同コンサルティングサービスの提供以降、データ匿名化、セキュリティ診断、ポリシー策定など、情報セキュリティ関連のコンサルティングメニューを拡充する。
