KDDI、KDDI総合研究所、富士通、NEC、三菱総合研究所は2023年8月1日、5G(第5世代移動通信システム)やLTEネットワーク機器などを対象例とした通信分野におけるSBOM(Software Bill of Materials)導入に向けた実証事業を開始すると発表した。SBOMは特定の製品に含まれるすべてのソフトウエアコンポーネント、ライセンス、依存を一覧化したもので「ソフトウエア部品表」とも呼ばれる。
KDDIが総務省から「通信分野におけるSBOMの導入に向けた調査の請負」を受託したことを受けて取り組むもので、通信分野におけるサイバーセキュリティー強化を目的とする。実証ではSBOMを使ってソフトウエア・サプライチェーンを把握し、脆弱性などへの迅速な対応を実現するとしている。各社の役割分担としては、三菱総合研究所が国内外の動向調査や通信分野へのSBOM導入に向けたガイドライン案を検討し、富士通とNECが通信機器に対するSBOMの作成と課題整理を実施、KDDIとKDDI総合研究所が通信機器に対するSBOMの制度を評価する。KDDIは全体の統括も担う。
各社の分担
(KDDIなどによるプレスリリースに基づき日経クロステック作成)
[画像のクリックで拡大表示]
事業の背景には通信システムに求められる機能の高度化や多様化、オープン化がある。通信システム内の基幹ソフトウエアの構成は、ソフトウエア部品の単純な組み合わせから、OSS(オープンソースソフトウエア)などのソフトウエア部品による複雑な組み合わせに変化してきた。そうした中でOSSを含むソフトウエア部品に対して悪意のあるコードを混入したり、OSSなどの脆弱性を狙ったりするサイバー攻撃が発生している。SBOMを整備することで、脆弱性を発見した際に素早く対処できるようにする。
