株式会社三菱総合研究所
KDDI株式会社 (代表取締役社長 CEO:高橋 誠、以下 KDDI)、株式会社KDDI総合研究所 (代表取締役所長:中村 元、以下 KDDI総合研究所)、富士通株式会社 (代表取締役社長 CEO:時田 隆仁、以下 富士通)、日本電気株式会社 (取締役 代表執行役社長 兼 CEO:森田 隆之、以下 NEC)、株式会社三菱総合研究所(代表取締役社長:籔田 健二、以下 MRI)は、サイバーセキュリティの強化を目的に、5GやLTEネットワーク機器などを対象例とした通信分野に対し、ソフトウエアを構成する部品などを記載したリスト「SBOM(Software Bill of Materials)(注1)」の導入に向けた実証事業(以下 本事業)に着手します。5社は本事業に取り組む体制を構築し、2023年7月31日のキックオフミーティングの開催を経て、SBOMの技術面・運用面の課題を整理する調査を本格的に開始します。 なお、本事業はKDDIが2023年5月11日に総務省から「通信分野におけるSBOMの導入に向けた調査の請負(注2)」を受託したことを受け、取り組むものです。
■背景
通信システムに求められる機能の高度化・多様化およびオープン化に伴い、通信システム内の基幹ソフトウエアの構成はソフトウエア部品の単純な組み合わせから、オープンソースソフトウエア(以下 OSS)などのソフトウエア部品による複雑な組み合わせへと変化してきました。OSSはソフトウエアのソースコードが公開されているため誰でも利用が可能で、豊富な機能や柔軟性を有していることから導入事例が拡大しています。
一方でソフトウエア・サプライチェーンの変化により、OSSを含むソフトウエア部品に対して悪意のあるコードの混入や脆弱性を狙ったサイバー攻撃などが発生しています。通信システムにおいても同様に攻撃の被害を受けるリスクが顕在化しています。攻撃への対応としてソフトウエア部品の脆弱性情報を収集・提供するデータベースが既に稼働していますが、通信システム内のソフトウエア部品の構成を把握できていない場合、脆弱性が確認された際の迅速な対応が困難です。そのため、ソフトウエアを構成するさまざまな部品の一覧やバージョン情報、部品同士の依存関係などをまとめたSBOMの重要性が急速に高まっています。
■本事業の取り組み
本事業では、SBOMを活用したソフトウエア・サプライチェーンの把握によって、脆弱性などへの迅速な対応を実現します。通信分野におけるサイバーセキュリティを強化するために、以下項目について調査・検討を行います。
(1)国内外の動向調査および通信分野へのSBOM導入に向けたガイドライン案の検討
国内外の行政機関や民間団体などによるSBOMに関係した取り組みや既存ガイドラインを調査し、通信機器および当該機器のソフトウエア部品のSBOMを作成・活用するためのガイドライン案を検討します。
(2)通信機器に対するSBOMの作成と課題整理
本事業を通じて、通信事業者が実際に運用している設備の一部を対象としてSBOMを作成します。
(3)通信機器に対するSBOMの精度評価
(2)にて作成したSBOMと、ツールで作成したSBOMの比較評価により、精度評価や通信分野において着目すべき項目について分析することで、SBOMの導入に向けた課題を整理します。
■各社の役割
5社は、サイバーセキュリティを取り巻くさまざまな環境変化が予見される中、お客さまの生活を支える通信サービスの安定提供のために、今後もサイバーセキュリティの強化に向け貢献していきます。
以 上
(注1)SBOM(Software Bill Of Materials)は、ソフトウエア部品表とも呼ばれ、特定の製品に含まれるすべてのソフトウエアコンポーネント、ライセンス、依存を一覧化したもの。
(注2)出典:総務省ホームページ https://www.soumu.go.jp/main_content/000888834.pdf#page=2