日立ソリューションズは2023年12月12日、SBOM(ソフトウェア部品表)管理クラウドサービス「SBOM管理サービス」を同年12月13日から販売すると発表した。SBOMを一元管理し、脆弱性情報を検出してサプライチェーンで共有する機能を備えている。価格(税込み)は年額330万円から。
日立ソリューションズの「SBOM管理サービス」は、SBOM(Software Bill of Materials:ソフトウェア部品表、エスボム)を管理するためのクラウドサービスである。取引先のベンダーなどから入手したSBOMをクラウド上で一元管理し、脆弱性情報を共有する機能を提供する。機能拡張を段階的に行う予定で、サービス提供開始当初の機能により「SBOMを使って、まずはソフトウェアの脆弱性を管理したい」という最低限のニーズに応えるとしている(図1)。
図1:SBOM管理サービスのイメージ図(出典:日立ソリューションズ)拡大画像表示
ソフトウェアを構成する部品(コンポーネント)やライセンスの構成情報を記したSBOMを参照することで、利用中のアプリケーションがどのようなソフトウェアコンポーネントやライブラリを利用しているかを把握できるようにし、ソフトウェアの脆弱性を検出可能にする(図2)。
図2:SBOM(ソフトウェア部品表)の概要(出典:日立ソリューションズ)拡大画像表示
ユーザーは自社で作成、もしくは取引先から提供を受けたSBOMを同サービスに取り込むことで、同サービスがソフトウェアの利用状況を管理・可視化し、各ソフトウェアコンポーネントに関連した脆弱性情報を検出、定期的に脆弱性情報を監視し、脆弱性の有無をチェックする(図3)。
図3:個々のソフトウェアコンポーネントに関連した脆弱性情報を検索して表示する(出典:日立ソリューションズ)拡大画像表示
脆弱性検出の手法として、日立製作所の「脆弱性検索エンジン」を組み込んで、SBOMに記載されたソフトウェアコンポーネントの名称/バージョン名から、関連する脆弱性情報(CVE)を自動検出する仕組みを備える。日立ソリューションズによると、従来、脆弱性のスキャンではコンポーネントを識別するCPE識別子を使うが、ベンダーなどがSBOMに記載したコンポーネント名の表記揺れなどもあり、機械的にCPE識別子とひもづけることが難しかったという(図4)。
図4:SBOMに記載のあるソフトウェアコンポーネントの名称とバージョン名から、関連する脆弱性情報を自動で検出する仕掛けを用意した(出典:日立ソリューションズ)拡大画像表示
例えば、SBOMに記載されたコンポーネント/バージョン名称として「Apache Log4jのバージョン2.4.1」という情報があると、ここからCPE識別子(cpe:2.3:a:apache:log4j:*:*:*:*:*:*:*:*)を認識して脆弱性の情報(CVE-2021-44228)を検出する。ちなみに、ここで出てくるCVE-2021-44228は任意のJavaコードを実行してしまう脆弱性であり(通称:Log4Shell)、2021年12月に修正されている(関連記事:Javaログ出力ライブラリ「Log4j」の脆弱性、修正した最新版2.17.0をリリース)。
SBOM管理サービスの価格(税込み)は年額330万円から。予定する今後の機能拡張として、オープンソースソフトウェア(OSS)のライセンス管理機能を強化し、ライセンスの解釈などを省力化する。その後、OSSを活用するためのベストプラクティスを記載した仕様(ISO/IEC 5230)などへの準拠の有無を管理する機能、企業のOSS活動を牽引するOSPO(オープンソースプログラムオフィス)の運用を支援する機能を順次提供する予定である。
「OSSの利用が広がる一方で、その脆弱性を狙うサイバー攻撃が増えている。欧米では政府が企業にSBOMを活用したセキュリティ対策を要請しており、日本でも経済産業省の主導でSBOM活用の手引書「ソフトウェア管理に向けたSBOMの導入に関する手引(2023年7月31日公表)」が作成され、SBOMに対する関心が高まっている」(日立ソリューションズ)
