令和２年度サイバー・フィジカル・セキュリティ対策促進事業（ソフトウェアを安全に利活用するための基盤構築に向けた調査）調査報告書

この報告は、令和2年度サイバー・フィジカル・セキュリティ対策促進事業におけるソフトウェアを安全に利活用するための基盤構築に向けた調査について書かれた報告書である。近年、産業活動のサービス化に伴い、産業機械や自動車の制御においてもソフトウェアの導入が進展し、IoT機器・サービスや5G技術においても汎用機器にソフトウェアを組み込むことで多様な付加価値創出が期待されている状況にある。特にオープンソースソフトウェアについては、汎用ライブラリやDBMSを中心として企業の商用製品・サービスにも積極的に採用されており、今やOSSを用いずに製品・サービスを構築することはほぼ不可能な状況となっている。

ソフトウェアを利活用した製品・サービスの安全・安心を担保するためには、利活用するソフトウェアの脆弱性管理が重要である。セキュリティ・バイ・デザインの考え方に基づいた企画・設計段階での対策が講じられていても、リリース後に脆弱性が発見される事例が多く、その際にはソフトウェア利活用側でのソフトウェア更新等の対応が求められる。また、自社製品・サービスで利活用しているソフトウェアの保守・サポートが終了する場合には、脆弱性管理について代替ソフトウェアへの変更を含めた検討が必要となる。

本調査では、米国商務省の電気通信情報局が平成30年7月から実施しているSoftware Component Transparencyという官民合同の検討体制について詳細な調査を実施した。この取り組みでは、ソフトウェアの脆弱性管理手法のあり方についてユースケースを交えた検討が行われており、SBOM（Software Bill of Materials）の活用に関する実証や既存標準の活用のあり方等に関する議論が進められている。さらに、国内外における企業や業界団体、公的機関、OSSコミュニティにおけるソフトウェア管理の取り組み状況についても調査を実施し、ソフトウェアの利活用に係るセキュリティリスクや課題及び対応策について多角的な検討を行った。