{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
PwCコンサルティング合同会社と日本シノプシス合同会社は2024年3月、製造業におけるソフトウェアサプライチェーン管理としてソフトウェア部品表(SBOM:Software Bill Of Materials)を意識している日本企業を対象に、セキュリティ対策状況に関する調査を実施しました。
本稿では調査結果を基に、企業のソフトウェアサプライチェーンに対する取り組みの現状と今後求められるセキュリティ活動について考察します。
SBOMに関する詳細な分析、今後の対策に関しては、PDFに掲載しています。こちらからダウンロードしてご確認ください。
図表1:調査概要
| 目的 | 製造業におけるソフトウェアサプライチェーンに関するセキュリティ対応状況を概観する。 製造業におけるソフトウェアサプライチェーン管理としてSBOMを意識している方へ有益な参考情報を提供する。 |
| 調査方法 | ウェブによるアンケート |
| 調査対象 | 製造業におけるソフトウェアサプライチェーン管理としてSBOMを意識している日本企業の以下の部門に所属する方々
|
| 調査項目例 |
|
| 調査期間 | 2024年3月 |
| 調査数 | 300名 |
進みつつある製品セキュリティに関する海外の法規制への対応
はじめに、製品セキュリティにおいて注目度の高い以下の法規制の対象となる企業の対応状況を調査しました。
- 日本 電気通信事業法 技術適合要件におけるセキュリティ要件
- 米国 カリフォルニア州法 Senate Bill No. 327
- 英国 Product Security and Telecommunication Infrastructure Act(PSTI法)
- EU Cyber Resilience Act(CRA)
- EU Radio Equipment Directive(RED)におけるセキュリティ要件
- International Medical Device Regulators Forum(IMDRF)
- 米国 Food and Drug Administration(FDA) Medical Device Cybersecurity Guidance
- WP29 UNR-155/156
- 米国 NHTSA Cybersecurity Best Practices for the Safety of Modern Vehicles (2022)
- ETSI EN 303 645
- 米国 Cyber Trust Mark(案)
- 米国 CISA Secure Software Self-Attestation Common Form
- シンガポール Cybersecurity Labeling Scheme(CLS)
- ISA Secure CSA Certification(IEC 62443-4-1, 4-2)
PSTI法、CRA、REDに関する各企業の対応状況
各法規制の中でも、特に発行目前となる欧州のPSTI法、CRA、REDに関する回答結果を見てみましょう。現在所属する企業において英国に向けてデジタル製品を提供していると答えた95人のうち、22人はPSTI法に全社対応済みと回答しました。EUに向けてデジタル製品を提供していると答えた110人のうち、30人はCRAに全社対応済みと回答し、28人はREDに全社対応済みと回答しました。
このことから、SBOMへの関心が高く、かつ欧州デジタル製品を提供していると答えた回答者が所属する企業においては、4分の1程度が関連する法規制への対応が完了していることが分かりました。一方で、図表2のように、PSTI法に関しては半数以上が対応未完了の状態となっており、CRA、REDに関しては半数近くが対応未完了でした。また、1割程度の回答者は、欧州にデジタル製品を提供しているにもかかわらず、関連する法規を知らないという状況です。
また、図表3と図表4の分布を比較すると、CRAおよびREDへの対応状況が類似している企業に所属している回答者が多いことが分かります。これは、SBOMに対して感度が高い企業は、将来的にRED要件はCRA要件によって委任規制され、修正あるいは廃止される可能性があることを理解しており、2つの法規制への対応を同時進行で進めていると考えられます。
日本の製造業全体に対して弊社が2023年10月に行った調査(日本企業の欧州サイバーレジリエンス法対応実態調査~SBOM活用状況と活用に向けた課題では、CRAの認知率が1割程度だったことを踏まえると、SBOMへの関心が高い企業では、製品セキュリティに対する各法規制への対応が進みつつあることがうかがえますが、対応が完了していない企業も依然として多い状況に変わりはありませんでした。
図表5に見られるように、各法規で対応未完了と答えた回答者の中で、法規自体は把握しているものの、対応計画すら立っていない回答者が3〜4割程度でした。その中でもREDへの対応計画が未策定と答えた回答者の割合が最も高い結果となりました。
SBOMへの対応はまだまだ発展途上
SBOMへの期待と現実のギャップ
実際に組織としてSBOMをどのように活用しているかについて調査した結果多くの回答者が下記の項目を挙げました。このことから、さまざまな業務においてSBOMの活用が進んでいることがうかがえます。
- 自社製品の効率的なリスク・脅威分析
- 脅威分析、サプライチェーンのリスク管理
- 開発した製品の脆弱性管理
- オープンソースソフトウェア(OSS)ライセンス管理
- IT資産管理
- 国内外市場での規制対応
※本調査は日本シノプシス合同会社との共同執筆です。下記のメンバーにご協力いただきました。
日本シノプシス合同会社
シニア・テクニカル・マーケティング・マネージャー
松岡 正人氏
SBOMに関する詳細な分析、今後の対策に関しては、PDFに掲載しています。ぜひダウンロードしてご確認ください。
全文PDF版のダウンロードはこちら ※登録が必要です
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
