2020年に米SolarWinds社のネットワーク管理ソフトウェアOrionソフトウェアを狙った攻撃が、翌2021年にはJavaのログ記録ライブラリであるApache Log4jを狙った攻撃が猛威を振るった。これらはいずれも、ソフトウェアのサプライチェーンを狙った攻撃とされている。

現在の企業システムの多くは、オープンソースソフトウェア（OSS）を含む様々なソフトウェアの組み合わせで出来ており、独自のコードで一から開発していた時代に比べ、その構成は複雑化している。部品のひとつに見つかった脆弱性がどこまで影響を与えるのか、どの部品のアップデートが実施されていないのかなどを正確に把握するのが困難となっているのが現状で、それが攻撃リスクを増大させている。

そこで注目されるようになったのが、SBOM（Software Bill of Materials）である。SBOMは、ソフトウェア製品の成分情報を詳細に記録する文書のことで、開発者からセキュリティ担当者、そしてソフトウェアを受け入れる組織まで、サプライチェーンの透明性を向上させる上で大きな役割を果たすとされている。

欧米の政府はソフトウェアサプライチェーンの安全性確保のため、企業のSBOM活用を推進しており、日本でも2023年に経済産業省が「ソフトウェア管理に向けたSBOM（Software Bill of Materials）の導入に関する手引 Ver.1.0」を公開するなど、SBOM導入の機運が高まっている。

本小冊子は、SBOMが注目されるようになった経緯から政府の取り組み、ツールなどSBOMの基本的な情報を紹介するとともに、SBOM導入を検討する企業が直面する課題についても解説する。来るSBOM本格導入の時代に備えて、ぜひ一読いただきたい。