レポート:SBOM(Software Bill of Materials)って何?(第3弾)
~社内導入事例+フォーマット(SPDX)の活用について~
2024年4月15日
Software ISAC OSS委員会主催
2月20日に開催しましたSoftware ISAC OSS委員会主催「SBOM(Software Bill of Materials)って何?(第3弾)~社内導入事例+フォーマット(SPDX)の活用について~」セミナーについてご報告します。
はじめに、OSS委員会 鈴木副委員長より、様々なサイバーセキュリティ規制とSBOM対応について説明いただきました。次にトレンドマイクロ株式会社 本田様より、「社内への導入事例と課題」を通じてSBOMの実情を説明いただきました。最後にサイバートラスト株式会社 富田様より第2弾に続いてSBOMの代表フォーマットであるSPDXについて、ソフトウェアサプライチェーンとOSSの問題に焦点を当て、SPDXの活用方法を最新動向も交え、SBOM導入の実践的な手法を説明いただきました。
参加者からは、「最新のレギュレーションや今後の動向も知ることができ、大変参考なりました。」「 ソフトウェア企業としてのSBOM利用・管理の難しさや、ユーザー企業におけるSBOMへの期待と現状について具体的な課題を教えていただき大変参考になりました。」などのお声をいただきました。
SAJ会員の皆さまは、会員向けビデオアーカイブから当日の動画の視聴ができますので、ぜひご覧ください。
概要
| 日時 | 2024年2月20日(火) 15:00-17:00 |
|---|---|
| 会場 | Zoomによるオンライン ※申込締切後、お申込者には、前日までにURLをご連絡します。 |
| 対象 | SAJ会員、Software ISACメンバー |
| 参加 | 21社31名 |
プログラム
| 15:00~15:30 | ・様々なサイバーセキュリティ規制とSBOM対応 講師:鈴木 康弘 氏 (株式会社アシュアード yamoryプロダクトオーナー/Software ISAC・OSS委員会副委員長) <講演概要> EUサイバーレジリエンスやNIST SP 800-218(SSDF)など、製品やソフトウェア開発に関連する様々なサイバーセキュリティの国際レギュレーションが今後普及していくと考えられます。各種レギュレーションの概要とその中でのSBOM対応について解説いただきました。 |
|---|---|
| 15:30~16:00 | ・経験共有:SBOMの作成と管理~トレンドマイクロの場合 講師:本田 祥子 氏 (トレンドマイクロ株式会社 製品開発本部本部長代理 ディレクター) <講演概要> SBOMの作成・管理に関する社内での取り組み、ならびに「サイバー・フィジカル・セキュリティ確保に向けたソフトウェア管理手法等検討タスクフォース」への協力を通じて得た経験を元に、SBOMの作成・管理に関する実情と課題、および学びを共有いただきました。 |
| 16:00~16:30 | ・SPDXフォーマットについて~SPDXをどうやって使うのか~ 講師:富田 佑実 氏 (サイバートラスト株式会社 OSS/IoT事業統括 OSS事業推進本部 OSSテクニカルアライアンス部) <講演概要> ソフトウェアのサプライチェーン問題や、OSSのライセンス問題が増加する中でSBOMの注目度が高まっています。 前回(10月)、SDPXフォーマットについて概要を説明しました。SPDXではユースケースごとにプロファイルと呼ばれるデータセットが定義されています。これを使うことでどのようにしてSPDXを活用できるのかについて、現在の動向も踏まえて解説いただきました。 |
| 16:30~ |
まとめ 萩原 健太 氏 |
会員向けビデオアーカイブ
SAJでは、セミナー当日に受講できなかった方、受講後に社内への情報共有として活用したい方向けに、アーカイブページ(会員限定)をご用意しています。
今回は、株式会社アシュアード yamoryプロダクトオーナー鈴木様のご講演とサイバートラスト株式会社 OSS/IoT事業統括 OSS事業推進本部 OSSテクニカルアライアンス部 富田様の講演について、会員専用ページの中に、ビデオアーカイブが掲載されていますので、ぜひご覧ください。
〇https://archive.saj.or.jp/NEWS/member/video/
※閲覧には、ユーザー名、パスワードが必要です。
お問い合わせ
一般社団法人ソフトウェア協会(SAJ)
事務局 戸島・和田 お問い合わせフォーム