SBOM(ソフトウェア部品表)管理システム【ソフトウェアメーカー】 
自社製品に含まれるOSS(オープンソースソフトウェア)やライブラリの一覧(SBOM)を自動生成・管理するシステムを導入する施策です。Log4jのような脆弱性が発見された際、「自社製品のどこに使われているか」を瞬時に特定し、迅速な対応を可能にします。サプライチェーンセキュリティの観点から、納品先(特にエンタープライズや官公庁)からの提出要求が増えています。
 職種 |
情報システム |  施策難易度 |
★☆☆☆☆ |
|---|---|---|---|
 業界① |
IT・情報通信 |  目的 |
コンプラ セキュリティ |
| 業界② |
ソフトウェアメーカー |  対象 |
エンジニアリングマネージャー コンプライアンス部門 セキュリティ責任者(CISO) |
 費用 |
100〜1000万円 |  実施期間 |
90 |
主なToDo
- CI/CDパイプラインにSBOM生成ツール(Snyk, Mend等)を組み込む
- 生成されたSBOMを脆弱性データベースと自動照合する設定を行う
- 脆弱性検知時のアラート通知と対応フロー(トリアージ基準)を策定する
期待できる効果
製品内のOSSライブラリを一元管理(SBOM)することで、脆弱性情報の公開時に影響範囲を秒単位で特定。迅速なパッチ配布と顧客通知を可能にし、サプライチェーンセキュリティに対する企業の信頼を強固にします。
躓くところ
自社開発部分以外の膨大なサードパーティ製コンポーネントを、漏れなく最新状態で追跡し続ける管理負荷が困難です。脆弱性が発見された際、機能影響を精査し即座に修正を行うエンジニアの確保も課題となります。
狙えるチャネル
