企業におけるソフトウェア管理のガバナンス

2022-05-12

はじめに

これまでの連載第1回～4回では、ソフトウェア部品表（SBOM：Software Bill of Material、「エスボム」と発音）の概要や効果、製品セキュリティの文脈におけるその活用方法を紹介してきました。第5回では、少し検討範囲を広げて、企業におけるソフトウェア資産をどのように管理すべきかを考察します。

デジタル化が進んだ今日の企業は、従来のようにソフトウェアを購入して使用するという「利用者」の立場だけでなく、自社の製品やサービスを通じてソフトウェアを市場に提供するという「提供者」の立場を持ち合わせています。

本連載のテーマであるSBOMは、その概念の由来が製造業であることからも、特に「提供者」としての立場でソフトウェア管理を行う際に適したソリューションであると言えます。一方で、「利用者」の立場においては、ISMS（情報セキュリティマネジメントシステム）やNIST CSF（サイバーセキュリティフレームワーク）等のフレームワークでも要求されている構成管理（資産管理、変更管理、脆弱性管理などの付帯機能も含む）がSBOMに相当するソフトウェア管理として位置付けられます。

いずれも、自社が利用するソフトウェア情報を管理し、当該ソフトウェアの利活用においてセキュリティ上のリスクないかを確認するという役割が求められています。

ソフトウェア管理業務の担い手の検討

ではまず、企業におけるソフトウェア管理をどの部門で担うかを考えてみましょう。

ソフトウェア管理業務のゴールは、ソフトウェアの情報を収集することではなく、収集した情報をもとにリスクがないかを判断することです。誰もができうる業務ではないため、専門スキルを有する部門の関与なしでは、目的を果たすことはできないでしょう。多くの企業では、CSIRTやPSIRTなどのセキュリティ専門組織を設置しているため、これらの組織にソフトウェア管理を任せるのが自然です。

一方で、CSIRTやPSIRTなどの１つの組織・部門が、自社に関わる全てのソフトウェア情報を漏れなく収集することは困難と考えられますので、情報を集めるという役割と、活用するという役割を分けてガバナンスを構築する必要があります。

ソフトウェア管理は、ソフトウェアが活用される製品やサービスに違いがあっても、情報を収集して管理をしていくという業務には共通性が見られますので、製品やサービス単位で管理機能を持たせるよりも、上図のように組織を横断して全体で管理していくガバナンスが望ましいと言えるでしょう。

ソフトウェア管理業務のスコープの整理

次に、企業におけるソフトウェア資産に対して、SBOM、構成管理のどちらの管理方法を選択すべきかを考えてみましょう。

SBOMは、製品やアプリケーションを構成するOSS（オープンソースソフトウェア）などの構成要素やその依存関係を管理していきます。この管理によって、ソフトウェアのサプライチェーンが把握でき、脆弱性の早期対処やライセンス準拠の確認などの製品・アプリケーション自体のリスクが低減できます。

では、全てのソフトウェア管理をSBOMで実施することが最善でしょうか。答えはNoです。

「利用者」の立場で製品やソフトウェアを購入した場合、その安全性は開発元によって保守されます。製品の保守を購入する限り、開発元で脆弱性の検査が行われ、安全なソフトウェアが提供されます。つまり、SBOMによるソフトウェア管理を行うのは開発元であり、利用者は購入したソフトウェアを開発元と同等レベルで管理するのは過剰と言えます。

「利用者」となる場合のソフトウェア管理は、構成管理を通じてソフトウェアのバージョンとその脆弱性または最新バージョンの提供状況を確認することが、自社の責務と整理するのがよいでしょう。なお、自社でスクラッチ開発した業務アプリケーションなどは、それを安全に維持するのは自社の責務となることから、SBOM相当の管理を行うことが望ましいと言えます。

ソフトウェア管理業務で扱う情報の違い

最後に、SBOMと構成管理で取り扱う情報の違いについて整理しましょう。

SBOMは、標準的な情報管理のフォーマットがISO等のガイドラインで定められており、ソフトウェア名称やバージョン、依存関係などが挙げられます。ソフトウェアを安全に提供することが主眼となる管理形態であるため、構成管理に比べると管理する情報の範囲は狭いと言えます。

一方、構成管理、とりわけサイバーセキュリティ資産管理では、ソフトウェア名称やバージョンの他に、設置場所やIPアドレスなどの環境情報や、保有するデータの区分、平時の起動プロセスや有事の初動対応など、広範囲の情報が求められます。これは、ソフトウェア利用の安全性の担保だけでなく、有事の際の判断や対処などの品質向上も目的に挙げられるためです（サイバーセキュリティ資産管理の詳細は、「『サイバーセキュリティ資産管理』によるCSIRTパフォーマンスの最大化」を参照）。

上述の通り、SBOMと構成管理は、取り扱う情報の範囲が大きく異なることから、同一のデータベースで管理することは不向きと言えます。また、情報収集などのそれぞれの処理の自動化を検討する際にも、機能要件が異なると考えられるため、現時点ではCSIRTにおいて構成管理、PSIRTにてSBOMという目的に見合ったツールを選定して、それぞれ管理することが実効的です。

執筆者

辻大輔

パートナー, PwCコンサルティング合同会社

脆弱性管理の実効力を高めるSBOM

11 results

2025-03-11

ソフトウェアセキュリティリスクに対応するSBOMを企業全体でどう活用するか

SBOMはソフトウェアに含まれる全てのコンポーネントを明確にし、セキュリティの透明性を確保するための基本的なツールです。法規制に基づく導入要求の背景、ソフトウェアサプライチェーンリスクの特性、 SBOM運用の課題、そしてどのようなアプローチが必要になるのかを解説します。

2024-10-31

欧州サイバーレジリエンス法～製造業が今すぐに取るべき対策～

欧州サイバーレジリエンス法（CRA）は、デジタル要素を含む製品のサイバーセキュリティを強化するための規則です。対象製品は規則に準拠していることを示すCEマークが必要となります。本稿では、製造業者が対応すべきCRAの法令要件の範囲やCEマーク利用のための適合性評価の流れを解説します。

2024-05-07

サイバーセキュリティリスクが高まる今こそ見直したいCSIRT成熟度―SIM3活用による企業レジリエンスの向上―

サイバーセキュリティリスクが増している現状において、企業のセキュリティ対応の要となる組織の1つがCSIRTです。日本のCSIRTによく見られる課題や、CSIRTの成熟度評価、それを行うメリットを解説します。

2024-04-09

日本企業の欧州サイバーレジリエンス法対応実態調査～SBOM活用状況と活用に向けた課題

PwCコンサルティング合同会社は2023年10月、日本国内の製品メーカーで働く580人を対象に、セキュリティ対策状況に関する調査を実施しました。本稿では調査結果を基に、日本の製品メーカーの製品セキュリティに対する意識・対応状況について解説します。

インサイト／ニュース

20 results

2025-06-12

IEC 62443-2-1第2版の改訂内容と推奨される対応

2024年8月、IEC 62443-2-1の改訂第2版「IACSアセットオーナーのためのセキュリティプログラム要求事項」が発行されました。第1版からの要件構成の変更、62443シリーズの他文書との連携、成熟度モデルの導入など多岐にわたり変更された第2版の概要や、改訂に伴って推奨される対応について解説します。

2025-06-12

ISMAP管理策評価の自動化に向けた洞察―NIST IR 8011 v1r1ドラフトを踏まえて

NISTが公表した「NIST IR 8011 v1r1 （Automation Support for Security Control Assessments）」ドラフトを解説するとともに、ISMAPにおける外部評価の一部自動化と、リアルタイム評価・継続的モニタリングを組み合わせたハイブリッド評価の可能性について考察します。

2025-06-05

『セキュリティ・クリアランス制度』法制化の最新動向と日本企業が取るべき対応【第4回】ガイドライン及びQ&Aの公表

2025年5月2日付で公表された「重要経済安保情報保護活用法の運用に関するガイドライン（適合事業者編）」、「重要経済安保情報保護活用法の運用に関するガイドライン（行政機関編）」及び「適正評価に関するQ&A」の概要を解説します。

2025-05-29

「営業秘密」の保護と利活用第1回：競争優位性の維持向上に不可欠な営業秘密保護対応

営業秘密は企業の競争優位性を支える重要な資産であり、経営層はこれをリスク管理の一環として重視し、戦略的に対応することが求められます。シリーズ第1回となる本稿では、営業秘密の定義とその重要性について解説します。

本ページに関するお問い合わせ

フォーム