企業におけるソフトウェア管理のガバナンス

2022-05-12

はじめに

これまでの連載第1回～4回では、ソフトウェア部品表（SBOM：Software Bill of Material、「エスボム」と発音）の概要や効果、製品セキュリティの文脈におけるその活用方法を紹介してきました。第5回では、少し検討範囲を広げて、企業におけるソフトウェア資産をどのように管理すべきかを考察します。

デジタル化が進んだ今日の企業は、従来のようにソフトウェアを購入して使用するという「利用者」の立場だけでなく、自社の製品やサービスを通じてソフトウェアを市場に提供するという「提供者」の立場を持ち合わせています。

本連載のテーマであるSBOMは、その概念の由来が製造業であることからも、特に「提供者」としての立場でソフトウェア管理を行う際に適したソリューションであると言えます。一方で、「利用者」の立場においては、ISMS（情報セキュリティマネジメントシステム）やNIST CSF（サイバーセキュリティフレームワーク）等のフレームワークでも要求されている構成管理（資産管理、変更管理、脆弱性管理などの付帯機能も含む）がSBOMに相当するソフトウェア管理として位置付けられます。

いずれも、自社が利用するソフトウェア情報を管理し、当該ソフトウェアの利活用においてセキュリティ上のリスクないかを確認するという役割が求められています。

ソフトウェア管理業務の担い手の検討

ではまず、企業におけるソフトウェア管理をどの部門で担うかを考えてみましょう。

ソフトウェア管理業務のゴールは、ソフトウェアの情報を収集することではなく、収集した情報をもとにリスクがないかを判断することです。誰もができうる業務ではないため、専門スキルを有する部門の関与なしでは、目的を果たすことはできないでしょう。多くの企業では、CSIRTやPSIRTなどのセキュリティ専門組織を設置しているため、これらの組織にソフトウェア管理を任せるのが自然です。

一方で、CSIRTやPSIRTなどの１つの組織・部門が、自社に関わる全てのソフトウェア情報を漏れなく収集することは困難と考えられますので、情報を集めるという役割と、活用するという役割を分けてガバナンスを構築する必要があります。

ソフトウェア管理は、ソフトウェアが活用される製品やサービスに違いがあっても、情報を収集して管理をしていくという業務には共通性が見られますので、製品やサービス単位で管理機能を持たせるよりも、上図のように組織を横断して全体で管理していくガバナンスが望ましいと言えるでしょう。

ソフトウェア管理業務のスコープの整理

次に、企業におけるソフトウェア資産に対して、SBOM、構成管理のどちらの管理方法を選択すべきかを考えてみましょう。

SBOMは、製品やアプリケーションを構成するOSS（オープンソースソフトウェア）などの構成要素やその依存関係を管理していきます。この管理によって、ソフトウェアのサプライチェーンが把握でき、脆弱性の早期対処やライセンス準拠の確認などの製品・アプリケーション自体のリスクが低減できます。

では、全てのソフトウェア管理をSBOMで実施することが最善でしょうか。答えはNoです。

「利用者」の立場で製品やソフトウェアを購入した場合、その安全性は開発元によって保守されます。製品の保守を購入する限り、開発元で脆弱性の検査が行われ、安全なソフトウェアが提供されます。つまり、SBOMによるソフトウェア管理を行うのは開発元であり、利用者は購入したソフトウェアを開発元と同等レベルで管理するのは過剰と言えます。

「利用者」となる場合のソフトウェア管理は、構成管理を通じてソフトウェアのバージョンとその脆弱性または最新バージョンの提供状況を確認することが、自社の責務と整理するのがよいでしょう。なお、自社でスクラッチ開発した業務アプリケーションなどは、それを安全に維持するのは自社の責務となることから、SBOM相当の管理を行うことが望ましいと言えます。

ソフトウェア管理業務で扱う情報の違い

最後に、SBOMと構成管理で取り扱う情報の違いについて整理しましょう。

SBOMは、標準的な情報管理のフォーマットがISO等のガイドラインで定められており、ソフトウェア名称やバージョン、依存関係などが挙げられます。ソフトウェアを安全に提供することが主眼となる管理形態であるため、構成管理に比べると管理する情報の範囲は狭いと言えます。

一方、構成管理、とりわけサイバーセキュリティ資産管理では、ソフトウェア名称やバージョンの他に、設置場所やIPアドレスなどの環境情報や、保有するデータの区分、平時の起動プロセスや有事の初動対応など、広範囲の情報が求められます。これは、ソフトウェア利用の安全性の担保だけでなく、有事の際の判断や対処などの品質向上も目的に挙げられるためです（サイバーセキュリティ資産管理の詳細は、「『サイバーセキュリティ資産管理』によるCSIRTパフォーマンスの最大化」を参照）。

上述の通り、SBOMと構成管理は、取り扱う情報の範囲が大きく異なることから、同一のデータベースで管理することは不向きと言えます。また、情報収集などのそれぞれの処理の自動化を検討する際にも、機能要件が異なると考えられるため、現時点ではCSIRTにおいて構成管理、PSIRTにてSBOMという目的に見合ったツールを選定して、それぞれ管理することが実効的です。

執筆者

辻大輔

パートナー, PwCコンサルティング合同会社

脆弱性管理の実効力を高めるSBOM

11 results

2025-03-11

ソフトウェアセキュリティリスクに対応するSBOMを企業全体でどう活用するか

SBOMはソフトウェアに含まれる全てのコンポーネントを明確にし、セキュリティの透明性を確保するための基本的なツールです。法規制に基づく導入要求の背景、ソフトウェアサプライチェーンリスクの特性、 SBOM運用の課題、そしてどのようなアプローチが必要になるのかを解説します。

2024-10-31

欧州サイバーレジリエンス法～製造業が今すぐに取るべき対策～

欧州サイバーレジリエンス法（CRA）は、デジタル要素を含む製品のサイバーセキュリティを強化するための規則です。対象製品は規則に準拠していることを示すCEマークが必要となります。本稿では、製造業者が対応すべきCRAの法令要件の範囲やCEマーク利用のための適合性評価の流れを解説します。

2024-05-07

サイバーセキュリティリスクが高まる今こそ見直したいCSIRT成熟度―SIM3活用による企業レジリエンスの向上―

サイバーセキュリティリスクが増している現状において、企業のセキュリティ対応の要となる組織の1つがCSIRTです。日本のCSIRTによく見られる課題や、CSIRTの成熟度評価、それを行うメリットを解説します。

2024-04-09

日本企業の欧州サイバーレジリエンス法対応実態調査～SBOM活用状況と活用に向けた課題

PwCコンサルティング合同会社は2023年10月、日本国内の製品メーカーで働く580人を対象に、セキュリティ対策状況に関する調査を実施しました。本稿では調査結果を基に、日本の製品メーカーの製品セキュリティに対する意識・対応状況について解説します。

インサイト／ニュース

20 results

2025-05-23

航空サイバーセキュリティの強化 ―EASA Part-ISが求める情報セキュリティ要件―

航空業界は、航空機や関連システムの高度なデジタル化やグローバルなサプライチェーンによる複雑化が進む中、サイバーセキュリティの重要性がかつてないほど高まっています。こうした背景から欧州航空安全機関（EASA）が2023年10月に制定した、情報セキュリティに関する初の規則となるPart-IS（委員会実施規則(EU) 2023/203および委員会委任規則2022/1645）について解説します。

2025-05-21

医薬品の安定供給を支える、OTセキュリティ実装の道筋とは

近年、製造設備などの制御系システムを守るOT（運用技術：Operational Technology）セキュリティの重要性が高まっています。第一三共株式会社でOTセキュリティ強化の活動に従事する江口武志氏に、実際の導入から運用立ち上げをどのように進めたか、現場への浸透における難しさやチャレンジについて聞きました。

2025-05-19

事業のグローバル化からみるサイバー・物理セキュリティ強化の必要性

本海外規格や国内外のガイドラインを踏まえて、日本企業が国際水準の物理セキュリティを整備する必要性を解説し、実際にどのように「物理セキュリティペネトレーションテスト」を導入・活用できるかをご紹介します。

2025-05-13

望ましいサイバーセキュリティの未来（銀行業界編）

スイス連邦財務省国際金融問題局の独立調査ユニットであるSwiss Financial Innovation Deskが発行した「Pathway 2035 for Financial Innovation」レポートを基に、銀行業界のサイバーセキュリティ戦略におけるAI、耐量子、デジタルトラスト、デジタル通貨のテーマ別に、それぞれの未来予測とサイバーリスク、望ましい対応策を整理します。

本件に関する

お問い合わせ