CRA対応について情報収集を進める中で、「SBOMが必要らしい」ということは理解できても、具体的に何を準備し、どのように運用すればよいのか分からないという企業様も多いのではないでしょうか。
SBOMは、製品に含まれるソフトウェアやライブラリなどを一覧化した「ソフトウェアの部品表」です。
ただし、SBOMは一度作成すれば対応が完了するものではありません。
製品のバージョンアップに合わせて内容を更新し、新たに公表される脆弱性情報と照合しながら、製品への影響や対応の必要性を継続的に判断する必要があります。
CRAでは、製品に含まれるコンポーネントや脆弱性を把握・文書化し、製品のライフサイクルを通じて脆弱性へ対応するプロセスが求められます。SBOMは、そのための基礎情報となります。
SBOMを作成すると、製品にどのようなソフトウェアやオープンソースコンポーネントが含まれているのかを確認しやすくなります。
一方で、実際の運用では次のような課題が発生します。
ファームウェアやソフトウェアの内容が変更されれば、SBOMの内容も変わります。
複数の製品やバージョンを扱っている場合、どの製品にどのコンポーネントが含まれているのかを継続的に管理しなければなりません。
古いSBOMをそのまま保管しているだけでは、現在販売している製品の状態を正しく把握できない可能性があります。
製品に含まれているソフトウェアについて、出荷時点では脆弱性が見つかっていなくても、出荷後に新たなCVEが公開されることがあります。
そのため、SBOMを作成した後も、公開される脆弱性情報と製品に含まれるコンポーネントを継続的に照合する必要があります。
脆弱性情報との照合でCVEが検出されたとしても、必ずしもすべての脆弱性が製品に影響するとは限りません。
例えば、次のような点を確認する必要があります。
単に「CVEが検出された」という情報だけでは、対応の優先順位を判断できません。
製品への影響を評価し、対応が必要な脆弱性と、影響が限定的または該当しない脆弱性を整理することが重要です。
製品数やバージョン数が少ないうちは、表計算ソフトなどを使ってSBOMや脆弱性情報を管理することも考えられます。
しかし、製品やバージョンが増えるほど、次のような作業負担が大きくなります。
特に、外部ベンダーから提供されたソフトウェアやファームウェアについては、ソースコードや詳細な構成情報を入手できない場合があります。
このような状況では、製品に含まれるソフトウェアを正確に把握すること自体が難しくなります。
SBOMの整備や脆弱性管理を始める際、最初からすべての製品やバージョンを対象にしようとすると、対象範囲が大きくなり、取り組みを始めにくくなることがあります。
まずは、代表的な1製品や、欧州向けに販売している製品など、優先度の高い製品から確認する方法が現実的です。
1製品から実際に確認してみることで、SBOMの作成方法だけでなく、社内で必要となる役割分担や運用フローも見えやすくなります。
SBOMを作成する方法の一つとして、開発工程やソースコードからコンポーネント情報を取得する方法があります。
一方、すでに開発済みの製品や、外部から調達したファームウェアなどでは、ソースコードやビルド環境を準備できないこともあります。
このような場合は、製品のバイナリファームウェアを解析し、SBOMを生成する方法が有効です。
当社が取り扱う「ONEKEY」は、バイナリファームウェアをアップロードすることで、製品に含まれるコンポーネントの解析やSBOMの自動生成、脆弱性情報の確認を支援するSaaSプラットフォームです。
ソースコードを用意せずに解析を始められるため、既存製品や第三者から提供されたファームウェアについても、製品内部の構成を確認するきっかけをつくることができます。
ONEKEYでは、SBOMの作成だけでなく、その後の脆弱性管理まで一つのプラットフォーム上で確認できます。
ファームウェアを解析し、含まれているソフトウェアコンポーネントやバージョンなどを可視化します。
開発時のソースコードやビルド環境を準備できない場合でも、バイナリから確認を始められます。
検出されたコンポーネントと既知の脆弱性情報を照合し、製品に関係する可能性のあるCVEを確認できます。
脆弱性ごとの情報や解析結果を確認することで、対応すべき脆弱性の優先順位を検討しやすくなります。
複数の製品やファームウェアバージョンをダッシュボード上で管理できます。
製品ごとのSBOMや脆弱性情報をまとめて確認できるため、表計算ソフトや個別ファイルによる管理負担の軽減につながります。
製品の出荷後に新しい脆弱性が公開された場合も、モニタリング対象として登録した製品について、継続的に脆弱性情報を確認できます。
製品の開発時だけでなく、販売後やサポート期間中の脆弱性管理にも活用できます。
SBOMへの取り組みは、最初から全製品を対象にする必要はありません。
まずは代表的な製品を一つ選び、どのようなソフトウェアが含まれているのか、どのような脆弱性リスクがあるのかを確認することが、具体的な対応を検討する第一歩になります。
ONEKEYの画面デモでは、バイナリファームウェアの解析からSBOMの生成、脆弱性情報の確認まで、実際の画面を使ってご紹介します。
このようなお悩みがありましたら、ぜひ一度ご相談ください。
SBOM生成・脆弱性管理ツール「ONEKEY」
バイナリファームウェアから、製品に含まれるソフトウェアや脆弱性リスクを可視化します。
※対象となるファームウェアや解析範囲によって、対応可否や確認できる内容が異なります。詳しくはお問い合わせください。
