令和３年度サイバー・フィジカル・セキュリティ対策促進事業（ＳＢＯＭを導入・活用するサプライチェーンモデルの構築に向けた調査・実証事業）報告書

この報告は、経済産業省が実施したサイバー・フィジカル・セキュリティ対策促進事業におけるSBOM（Software Bill of Materials）を導入・活用するサプライチェーンモデルの構築に向けた調査・実証に関する報告書である。

本報告書では、米国政府機関におけるソフトウェアセキュリティ対策の動向調査から始まり、特に米国大統領令EO 14028によるサイバーセキュリティ改善への取組、NTIAのソフトウェア部品透明性に関する活動、CISAやFDA等の政府機関における具体的な施策について詳細に調査された。また、企業や業界団体、OSSコミュニティにおけるソフトウェア管理の取組動向についても、Software ISACやLinux Foundation、Google等の主要プレイヤーの活動が分析されている。

OSSの利活用に関する事例調査では、オリンパスやZendesk等の企業事例を通じて、実際の導入における課題と対応策が整理された。さらに、OpenSSL Heartbleed、ShellShock、Apache Struts2等の重大な脆弱性事例の分析により、OSSセキュリティリスクの実態が明らかにされている。

SBOMの実証では、独自形式による部品管理と比較して、手動SBOM、自動SBOM、有償ツールによるSBOM等の異なる手法によるコスト効果分析が実施された。実証結果により、SBOM導入による脆弱性対応時間の短縮効果、ライセンス管理の効率化、長期的なコスト削減効果が定量的に示されている。特に自動生成ツールの活用により、初期コストは増加するものの運用コストの大幅な削減が可能であることが確認された。