SBOM(ソフトウェア部品表)管理システム【ネットワーク機器メーカー】 
自社製品のファームウェアに含まれるOSS(オープンソース)やライブラリを管理し、脆弱性対応を迅速化するSBOMシステムを導入する施策です。通信インフラを担う製品として、セキュリティ透明性の確保は必須要件です。Log4jのような脆弱性発覚時に、影響範囲を即座に特定します。メリットは、セキュリティリスク管理と、顧客(通信キャリア・官公庁)からの信頼獲得です。成功には、ビルドプロセスへの自動組み込みと、脆弱性DBとの連携が必要です。
 職種 |
情報システム |  施策難易度 |
★☆☆☆☆ |
|---|---|---|---|
 業界① |
IT・情報通信 |  目的 |
コンプラ セキュリティ |
| 業界② |
ネットワーク機器メーカー |  対象 |
セキュリティ担当 官公庁担当 製品開発マネージャー |
 費用 |
200〜1500万円 |  実施期間 |
90 |
主なToDo
- ビルドパイプラインにSnykなどのSCAツールを組み込み、SBOMを生成する
- 生成されたSBOMを脆弱性データベースと日々照合する
- 顧客からの開示要求に対応できるポータルやレポート機能を用意する
期待できる効果
自社製品のOSS構成を一元管理し、脆弱性公開時に影響範囲を即座に特定。通信インフラとしての透明性を担保し、セキュリティ要件の厳しい官公庁や通信キャリアからの強固な信頼を獲得します。
躓くところ
開発のビルドプロセスにSBOM生成を完全に自動組み込みし、情報の漏れをゼロにする運用体制の維持が困難です。発見された脆弱性に対し、修正パッチを迅速に提供・配布する社内リソースの確保も課題です。
狙えるチャネル
