なお、本事業はKDDIが2023年5月11日に総務省から「通信分野におけるSBOMの導入に向けた調査の請負(注2)」を受託したことを受け、取り組むものです。
■背景
通信システムに求められる機能の高度化・多様化およびオープン化に伴い、通信システム内の基幹ソフトウエアの構成はソフトウエア部品の単純な組み合わせから、オープンソースソフトウエア(以下 OSS)などのソフトウエア部品による複雑な組み合わせへと変化してきました。OSSはソフトウエアのソースコードが公開されているため誰でも利用が可能で、豊富な機能や柔軟性を有していることから導入事例が拡大しています。
一方でソフトウエア・サプライチェーンの変化により、OSSを含むソフトウエア部品に対して悪意のあるコードの混入や脆弱性を狙ったサイバー攻撃などが発生しています。通信システムにおいても同様に攻撃の被害を受けるリスクが顕在化しています。攻撃への対応としてソフトウエア部品の脆弱性情報を収集・提供するデータベースが既に稼働していますが、通信システム内のソフトウエア部品の構成を把握できていない場合、脆弱性が確認された際の迅速な対応が困難です。そのため、ソフトウエアを構成するさまざまな部品の一覧やバージョン情報、部品同士の依存関係などをまとめたSBOMの重要性が急速に高まっています。
■本事業の取り組み
本事業では、SBOMを活用したソフトウエア・サプライチェーンの把握によって、脆弱性などへの迅速な対応を実現します。通信分野におけるサイバーセキュリティを強化するために、以下項目について調査・検討を行います。
(1)国内外の動向調査および通信分野へのSBOM導入に向けたガイドライン案の検討
国内外の行政機関や民間団体などによるSBOMに関係した取り組みや既存ガイドラインを調査し、通信機器および当該機器のソフトウエア部品のSBOMを作成・活用するためのガイドライン案を検討します。
(2)通信機器に対するSBOMの作成と課題整理
本事業を通じて、通信事業者が実際に運用している設備の一部を対象としてSBOMを作成します。
(3)通信機器に対するSBOMの精度評価
(2)にて作成したSBOMと、ツールで作成したSBOMの比較評価により、精度評価や通信分野において着目すべき項目について分析することで、SBOMの導入に向けた課題を整理します。
■各社の役割
役割・担当項目 |
担当企業 |
全体統括 |
KDDI |
(1)国内外の動向調査および通信分野へのSBOM導入に向けたガイドライン案の検討 |
MRI |
(2)通信機器に対するSBOMの作成と課題整理 |
富士通 NEC |
(3)通信機器に対するSBOMの精度評価 |
KDDI KDDI総合研究所 |
5社は、サイバーセキュリティを取り巻くさまざまな環境変化が予見される中、お客さまの生活を支える通信サービスの安定提供のために、今後もサイバーセキュリティの強化に向け貢献していきます。
以 上
(注1)SBOM(Software Bill Of Materials)は、ソフトウエア部品表とも呼ばれ、特定の製品に含まれるすべてのソフトウエアコンポーネント、ライセンス、依存を一覧化したもの。
(注2)出典:総務省ホームページ https://www.soumu.go.jp/main_content/000888834.pdf#page=2