ニュースリリース

SBOM管理システムの活用イメージ

　株式会社日立ソリューションズ（本社：東京都品川区、取締役社長：森田 英嗣／以下、日立ソリューションズ）は、ソフトウェアサプライチェーンのセキュリティリスクを継続的に管理する「SBOM*1（ソフトウェア部品表）管理システム」を6月24日から提供開始します。
 AI解析技術の発展により潜在的な脆弱性が顕在化する中、企業にはサイバーレジリエンス法（CRA）対応に加え、ソフトウェア構成把握と継続的な脆弱性管理が求められる一方、実務は依然として手作業に依存し、運用負荷が課題です。本システムは、サプライヤごとの納品形式や生成ツールの違いで構造や記述に差異が生じるSBOMを一元管理し、識別子の自動付与と脆弱性の継続監視、影響検知により迅速な対応を実現します。これにより、SBOMを単なる部品管理にとどめず、脆弱性の検出・評価・対応を統合した実運用へ進化させ、ソフトウェアサプライチェーンの可視化とリスク把握により、PSIRT*2運用の高度化を支援します。当社は、本システムの有効性について、株式会社島津製作所、ヤマハ株式会社と実証を行い、脆弱性管理業務の工数削減と運用効率化において高い評価を得ました。日立グループと連携し、日系企業の海外拠点におけるセキュリティ・ガバナンス強化により、グローバルでの一貫した運用を支援します。

*1 Software Bill of Materialsの略称。

*2 Product Security Incident Response Teamの略称。脆弱性インシデント対応をおこなう専門組織、または活動。

• 機密性の高いSBOMデータを安全に管理でき、製造業など厳格な情報管理が求められる企業でも導入可能。日本語と英語に対応し、グローバル組織での横断的な活用と継続的な運用を支援
• 識別子(CPE*3など)の自動付与によりソフトウェアと脆弱性情報を正確に紐付け、手作業中心だった脆弱性確認業務を効率化。見逃し防止と継続的なリスク把握を実現し、迅速な対応判断を支援
• 脆弱性データベースを継続監視し、新たな識別子に基づく影響判明時に自動通知。既存資産に対する新たなリスクの早期把握を可能にし、オープンソースソフトウェア(OSS)に加え、COTS製品*4、プロプライエタリソフトウェアにも対応
• セキュリティ管理ツールやITSM*5ツールとの連携により、脆弱性検出時の対応の優先順位付けや進捗管理を効率化。PSIRT業務の対応履歴を一元管理し、継続的な運用の可視化とガバナンス強化を実現
• ソフトウェアセキュリティ分野でのOWASP Foundationへの貢献やSPDX*6プロジェクトを擁するLinux Foundationでの活動とリーダーシップを通じ、国際標準の発展をリードする立場からSBOM運用を支える技術と知見を提供

*3 Common Platform Enumerationの略称。ソフトウェアやOS、ハードウェア製品を一意に識別するための標準的な識別子。

*4 Commercial Off-The-Shelfの略称。市販の既製ソフトウェア製品。

*5 IT Service Managementの略称。ITサービスの運用・管理を効率化するツール。

*6 SBOMを標準的に記述・共有するためのフォーマットであるSPDXを策定するオープンソースプロジェクト。

ソフトウェアの高度化とサプライチェーンの複雑化が進む中、AIの解析技術の進展により従来把握されていなかった脆弱性が明らかになってきています。SBOMを活用した脆弱性管理は、製品やサービスの安全性を支える取り組みとして、業種や地域を問わず重要性が高まっています。特に、各国、地域における法規制やガイドラインの強化に加え、サイバー攻撃の高度化を背景に、SBOMを適切に管理し、継続的に活用できる体制の構築が企業に求められています。グローバル企業においては、国内外で一貫したセキュリティ管理とガバナンスの確保も重要な課題です。
 一方で、SBOMは生成ツールや提供元ごとにフォーマットが異なるため、識別子管理や脆弱性の精査に多くの工数を要し、継続的な運用の妨げとなっています。加えて、機密性の高い設計情報を含むSBOMの管理においては、クラウド利用に慎重な企業も少なくありません。このため、SBOMを安全に管理し、国内外の拠点で継続的に活用、運用できる仕組みの整備が求められています。
 日立ソリューションズはこれまで、日立グループのOSS活用ガイドライン策定や、SBOMを活用した脆弱性管理業務に携わるとともに、経済産業省の実証事業にも参画してきました。これらの取り組みを通じて蓄積してきたノウハウと実績を基に、企業が自らの責任のもとでSBOMを活用した継続的な脆弱性対応を可能とし、PSIRTを見据えた体制構築を支援するため、「SBOM管理システム」を開発しました。

• OWASPのセキュリティ管理ツール「Dependency-Track」

  https://dependencytrack.org/

• Atlassian Pty Ltd.のITSMツール「Jira Service Management」

  https://www.hitachi-solutions.co.jp/atlassian/jira-service-management/

• ServiceNow, Inc.のITサービス運用統合管理プラットフォーム「ServiceNow」

  https://www.hitachi-solutions.co.jp/servicenow/

https://www.hitachi-solutions.co.jp/sbom/solution/lineup-tools/sbom-mgmt-system/

日立ソリューションズは、お客さまとの協創をベースに、最先端のデジタル技術を用いたさまざまなソリューションを提供することで、デジタルトランスフォーメーションを実現します。欧米、東南アジア、インドの各拠点が連携し、社会や企業が抱える課題に対して、グローバルに対応します。
 そして、人々が安全にかつ安心して快適に暮らすことができ、持続的に成長可能な社会の実現に貢献していきます。
 詳しくは、日立ソリューションズのウェブサイト(https://www.hitachi-solutions.co.jp/)をご覧ください。

株式会社日立ソリューションズ　経営企画本部 広報部 [担当：秋山、竹谷]
〒140-0002　東京都品川区東品川4-12-7
E-mail：koho@hitachi-solutions.com