プレスリリース
SBOM導入支援コンサルティングを開始
SBOM導入支援コンサルティングを開始
~脆弱性管理に向け、導入や運用を支援~
2024年03月26日
NTTテクノクロス株式会社
NTTテクノクロス株式会社(本社:東京都港区、代表取締役社長:岡敦子、以下「NTTテクノクロス」)は、脆弱性管理を図るSBOM*1(ソフトウェア部品表)の導入及び運用を支援するコンサルティングを2024年4月下旬から開始します。
背景
SBOMとはソフトウェアを構成する部品などを記載したリストを指し、脆弱性などのリスク管理に用いられるものです。近年、ソフトウェアで使用されるOSS*2の脆弱性を狙ったソフトウェアサプライチェーン攻撃*3などが増加しています。米国ではサイバーセキュリティ強化のための大統領令*4によるSBOMの作成や脆弱性対策を義務付ける条項が付加され、日本でも経済産業省により手引*5が発表されるなど、SBOMの導入はセキュリティ対策の強化策として捉えられています。
これらを背景に、NTTテクノクロスではSBOMの把握や活用が求められるソフトウェア開発会社をはじめ、システムの保守運用を外部委託している企業や企業のIT部門に向けて、SBOMのコンサルティングを展開していきます。
![SBOMの可視化によるメリット""](/whatsnew/2024/img/240326_1.png)
コンサルティングの概要
・SBOM導入支援
SBOM作成ツールの調査、選定をはじめ、ソースコードやバイナリコード*6からSBOMの作成代行や支援を行います。・SBOM運用支援
SBOMを可視化し、構成情報や脆弱性の管理を行うための環境構築とともに、検出された脆弱性の影響範囲の特定や対処方法など検討に関する運用支援を行います。今後の展開
SBOMの導入・運用支援に努めるとともに、データ匿名化やセキュリティ診断、情報セキュリティポリシー策定などのセキュリティコンサルティングメニュー*7の拡充を図ります。加えて、SBOMに関する製品開発を進めていきます。
用語解説・注釈
*1:「SBOM」とは、Software Bill of Materialsの略称です。ソフトウェアがどのような部品(モジュール、ライブラリなど)から成り立っているかを一覧できるリストのことです。
*2:「OSS」とは、Open Source Softwareの略称です。誰でも閲覧・変更ができるソースコード(プログラムの元となるコード)のことです。
*3:「ソフトウェアサプライチェーン攻撃」とは、ソフトウェアの製造段階やアップデートプログラムなどに不正コードを埋め込み、標的組織に侵入するサイバー攻撃のことです。
*4:「サイバーセキュリティ強化のための大統領令」とは、2021年7月にNTIA(米国商務省電気通信情報局)が発表したガイドラインです。(https://www.ntia.gov/report/2021/minimum-elements-software-bill-materials-sbom)
![別ウィンドウで開きます](/common/images/com_ic09.gif)
*5:「SBOMの導入に関する手引」とは、経済産業省がSBOMを導入するメリットや実際に導入するにあたって認識・実施すべきポイントをまとめた「ソフトウェア管理に向けたSBOMの導入に関する手引」のことです。(https://www.meti.go.jp/press/2023/07/20230728004/20230728004.html)
![別ウィンドウで開きます](/common/images/com_ic09.gif)
*6:「バイナリコード」とは、ソースコードを変換した、コンピュータが解釈できる機械語のことです。
*7:https://www.ntt-tx.co.jp/products/security-consulting/
![別ウィンドウで開きます](/common/images/com_ic09.gif)
* 記載されている商品名・会社名などの固有名詞は一般に該当する会社もしくは組織の商標または登録商標です。