KDDI、KDDI総合研究所、富士通、NEC、三菱総合研究所の5社は2023年8月1日、サイバーセキュリティの強化を目的に、5GやLTEネットワーク機器などを対象例とした通信分野に対し、ソフトウエアを構成する部品などを記載したリスト「SBOM(Software Bill of Materials)」の導入に向けた実証事業に着手すると発表した。
通信分野のSBOM導入に向けた実証事業の全体イメージ
SBOM(Software Bill Of Materials)は、ソフトウエア部品表とも呼ばれ、特定の製品に含まれるすべてのソフトウエアコンポーネント、ライセンス、依存関係、バージョン情報などを一覧化したもの。通信システムは要求される機能の高度化と多様化、およびオープン化に伴い、基幹ソフトウエアの構成はソフトウエア部品の単純な組み合わせから、オープンソースソフトウエア(OSS)などのソフトウエア部品による複雑な組み合わせへと変化してきた。
一方でOSSを含むソフトウエア部品に対する攻撃は増加しており、通信システムが被害を受けるリスクが顕在化している。そのリスクに備え、ソフトウエア部品の脆弱性情報を収集し提供するデータベースはすでに稼動しているが、通信システム内のソフトウエア部品の構成を把握できていない場合、脆弱性を確認した場合の迅速な対応は困難だ。
こうした背景から、SBOMの重要性が急速に高まっている。この実証事業では、SBOMを活用したソフトウエアサプライチェーンの把握によって、脆弱性などへの迅速な対応を実現するという。通信分野におけるサイバーセキュリティを強化するため、以下の3項目について調査・検討を行う。
(1)国内外の動向調査および通信分野へのSBOM導入に向けたガイドライン案の検討
国内外の行政機関や民間団体などによるSBOMに関係した取り組みや既存ガイドラインを調査し、通信機器および当該機器のソフトウエア部品のSBOMを作成・活用するためのガイドライン案を検討する。
(2)通信機器に対するSBOMの作成と課題整理
この事業を通じて、通信事業者が実際に運用している設備の一部を対象としてSBOMを作成する。
(3)通信機器に対するSBOMの精度評価
(2)で作成したSBOMと、ツールで作成したSBOMの比較評価により、精度評価や通信分野において着目すべき項目について分析することで、SBOMの導入に向けた課題を整理する。
各社の役割分担は次の表のとおりとなる。
同事業における各社の役割分担
なお、この事業はKDDIが2023年5月11日に総務省から「通信分野におけるSBOMの導入に向けた調査の請負」を受託したことを受けた取り組み。2023年7月31日にキックオフミーティングを開催し、SBOMの技術面・運用面の課題を整理する調査を本格的に開始するとしている。