NRIセキュアテクノロジーズは2024年1月30日、SIサービス「SBOM導入支援サービス」を提供開始した。ソフトウェア関連製品・サービスを開発・運用する企業・組織に向けて、SBOM(ソフトウェア部品表)を用いた脆弱性管理を支援する。価格は個別見積もり。
NRIセキュアテクノロジーズの「SBOM導入支援サービス」は、SBOM(Software Bill of Materials:ソフトウェア部品表、エスボム)を用いた脆弱性管理を支援するSIサービスである。ソフトウェア関連製品・サービスを開発・運用する企業・組織に向けて提供する。計画の作成、導入、PoC(概念実証)、課題解決のアドバイザリーまで網羅する。
SBOMは、ソフトウェアを構成するライブラリなどのコンポーネント(ソフトウェア部品)と、これらの依存関係などの情報を含む一覧表のこと。SBOMを活用して、オープンソースソフトウェア(OSS)の脆弱性などを検証することで、ソフトウェアのサプライチェーン全体のセキュリティを確保する。同サービスでは以下の支援を提供する。
(1)SBOM生成プロセスの構築支援
製品およびその構成コンポーネントを元に、SBOMを生成する対象を整理する。そのうえで適切なSBOM生成ツールの選定や導入を支援する。SBOMの管理や関係先への提供などもサポートする。
(2)SCA(ソフトウェア構成分析)ツールの導入支援
SBOMを活用してソフトウェアの既知の脆弱性を検出するSCAツールの導入を支援する。
(3)脆弱性の監視・対応プロセスの構築・強化支援
製品・サービスの運用プロセスでは、リリース後に発生する新たな脆弱性を監視し、発生した際に影響範囲を迅速に特定して対処することが求められる。これらのための脆弱性監視ツールの導入や脆弱性監視・対応プロセスの構築・強化を支援する。
価格は個別見積もり。上記の他に、PSIRTやCSIRTの構築・強化やSBOM関連の法規・ガイドライン準拠などを要望に応じて支援する。NRIセキュアは同サービスを、「サプライチェーントラストサービス」の1メニューとして提供する(表1)。
表1:「サプライチェーントラストサービス」の支援メニュー(出典:NRIセキュアテクノロジーズ)拡大画像表示
