科学技術情報通信部は16日、韓国インターネット振興院（KISA）と共同で、SBOM（Software Bill of Materials）を活用したソフトウェアサプライチェーンセキュリティ管理の事例集を公表した。SBOMに基づく管理体制の構築支援事業を通じて得られた事例をまとめたものだ。

ソフトウェア開発では、オープンソースや外部ライブラリなど多様な構成要素の活用が広がり、サプライチェーンの複雑化が進んでいる。こうした構造を狙った攻撃も増加していることから、科学技術情報通信部とKISAは昨年、8社を対象にSBOMベースのソフトウェアサプライチェーンセキュリティ管理体制の構築支援事業を初めて実施した。

事例集では、医療、交通、セキュリティ、金融など複数産業の参加企業とともに整理した共通モデルを収録した。外部ソースコードの導入から、ソフトウェア配布後のモニタリングに至るまで、SBOMで管理するサプライチェーンセキュリティの実務モデルを示している。

あわせて、米国や欧州連合（EU）におけるSBOM関連規制への対応事例や、SBOMを安全に共有するための共有モデル、各社のソフトウェア特性に応じたサプライチェーンセキュリティの導入事例も盛り込んだ。

今回の支援事業では、主要国のセキュリティ要件への対応や脆弱性対策に向けた技術支援も提供した。グローバル規制への対応や、自社でのサプライチェーンセキュリティ体制構築を目指す企業向けに、自己診断チェックリストやSBOM項目の構成、活用方法も整理した。

事例集は16日に情報通信網情報保護カンファレンスで公表した。詳細はKISAの公式サイトで確認できる。

科学技術情報通信部のイム・ジョンギュ情報保護ネットワーク政策官は、「ソフトウェア企業やセキュリティ企業がサプライチェーンセキュリティの管理体制を構築する際の実務的な参考資料になることを期待している」と述べた。その上で、「政府としても今後、ソフトウェアサプライチェーンセキュリティの強化を継続的に支援し、サイバー・レジリエンス確保に向けたセキュリティ水準の向上に取り組む」とした。