KDDI、KDDI総合研究所、富士通、NEC、三菱総合研究所(MRI)の5社は2023年8月1日、モバイル通信機器(5G/LTEネットワーク機器)のサイバーセキュリティ強化を目的に、これら通信機器にソフトウェア構成リスト「SBOM」を導入する実証事業に着手したと発表した。5社は2023年7月31日のキックオフミーティングの開催を経て、今後、SBOMの技術面・運用面の課題を整理する調査を開始する。
KDDI、KDDI総合研究所、富士通、NEC、三菱総合研究所(MRI)の5社は、モバイル通信機器(5G/LTEネットワーク機器)のサイバーセキュリティ強化を目的に、これら通信機器にソフトウェア構成リスト「SBOM(Software Bill of Materials:ソフトウェア部品表、エスボム)」を導入する実証事業に着手した。5社は2023年7月31日のキックオフミーティングの開催を経て、今後、SBOMの技術面・運用面の課題を整理する調査を開始する(図1)。
図1:モバイル通信機器にSBOMを導入する実証事業の全体像(出典:KDDI、KDDI総合研究所、富士通、NEC、三菱総合研究所)拡大画像表示
SBOMを活用することによって、通信機器で利用するソフトウェアのサプライチェーンを把握することが狙い。ソフトウェアに脆弱性が検出された際、迅速に対応できるようにする。
SBOMの構築にあたり、まずは国内外の行政機関や民間団体などによるSBOMに関係した取り組みや既存ガイドラインを調査する。これを参考に、通信機器や当該機器のソフトウェア部品のSBOMを作成・活用するためのガイドライン案を検討する。
さらに事業を通じて、通信事業者が実際に運用している設備の一部を対象にSBOMを作成し、ツールで自動作成したSBOMを比較評価する。通信分野で着目すべき項目を分析することにより、通信分野にSBOMを導入する際の課題を整理する。表1は5社の役割である。
| 役割・担当項目 | 担当企業 |
|---|---|
| 全体統括 |
KDDI |
| 国内外の動向調査および通信分野へのSBOM導入に向けたガイドライン案の検討 |
三菱総合研究所(MRI) |
| 通信機器に対するSBOMの作成と課題整理 |
富士通、NEC |
| 通信機器に対するSBOMの精度評価 |
KDDI、KDDI総合研究所 |
取り組みの背景として、現在の通信システムは一般的なITシステムと同様に、オープンソースソフトウェア(OSS)などのソフトウェア部品の組み合わせによって構築されていることを挙げている。通信システムにおいても、ソフトウェア部品の脆弱性を狙ったサイバー攻撃のリスクが顕在化しているという。
「攻撃への対応として、ソフトウェア部品の脆弱性情報を収集・提供するデータベースがすでに稼働しているが、通信システムのソフトウェア部品の構成を把握できていない場合、脆弱性が見つかった際に迅速に対応できない。こうした経緯から、ソフトウェアを構成する部品の一覧やバージョン情報、部品同士の依存関係などをまとめたSBOMの重要性が高まっている」(5社)
