業界特化型 技術・製品情報サイト
  • MONOist
  • EE Times Japan
  • EDN Japan
  • スマートジャパン
  • BUILT

リックソフト株式会社

製品資料

リックソフト株式会社

ソフトウェアサプライチェーン攻撃対策の中核、「SBOM」を正しく理解する

コンテンツ情報
公開日 2022/07/19 フォーマット PDF 種類

製品資料

ページ数・視聴時間 8ページ ファイルサイズ 932KB
要約
 2020年に発生したSolarWinds事件以降、大きく注目を集めることになったソフトウェアサプライチェーン攻撃。これはベンダーが顧客に提供する前段階で、ソフトウェアやアップデートファイルに悪意のあるコードを仕込み、全ての顧客のシステムやデータを侵害する攻撃手法だ。SolarWindsの事例では実に1万8000を超える組織が影響を受けた。

 こうした攻撃を防ぐには、ライブラリやモジュールなど、ソフトウェアの構築時に使用する各種コンポーネントの詳細とサプライチェーンの関係を正式に記録した、ソフトウェアの部品表(SBOM)が欠かせない。SBOMによって透明性が確保されることで、開発者や購入者、運用者が既知の脆弱性と新たな脆弱性を追跡・修正しやすくなるからだ。

 こうしたニーズを受けて、多数のオープンソースコンポーネントのインベントリ作成ツールが市場で提供されているが、リスク対処の方法が示されない、特定の言語やパッケージにしか対応してないなどSBOM作成に適していないものもある。本資料では、SBOMを正しく作成し、そのメリットを享受するための方法を基礎から解説する。