日立ソリューションズは12月13日、ソフトウェアを構成するコンポーネントやライセンスデータなどをリスト化したSBOM（ソフトウェア部品表）を一元管理する「SBOM管理サービス」を発売した。ソフトウェアの脆弱性といった情報をサプライチェーンで容易に共有できる仕組みを提供する。

　SBOMは、複数の標準フォーマットがあるほか、SBOM生成ツールごとの差分により一元管理するのが難しいとされてきた。SBOM管理サービスは、異なるツールで作成されたさまざまな形式のSBOMを一元管理できるのが特徴。第1弾の機能として、SBOMに記載されているソフトウェアコンポーネントの名称とバージョンを、公開されている脆弱性情報とひも付けることで、自動で脆弱性を発見できるようにした。今後も機能拡張を進め、OSS（オープンソースソフトウェア）ライセンスの利用形態に応じた責務、注意するべき事項などを表示する「OSSライセンス管理支援」、ISO／IEC 5230といった標準規格や各業界の規格に準拠するための管理機能などを追加する予定だ。


　ITプラットフォーム事業部デジタルアクセラレーション本部プロセス改善ソリューション部の渡邊歩・シニアOSSスペシャリストはSBOM管理サービスについて「クラウドサービスとして提供することで、サプライチェーンでの情報共有や連携が容易になる」と強調した。

　米国では大統領令で、セキュリティ強化のためにSBOMの作成が指示されるなど、国際的にSBOMの重要性が高まっている。渡邊シニアOSSスペシャリストは、国内でも自動車業界を中心に、医療機器、産業用制御システム、通信といった分野でSBOMへの取り組みが進んでいると紹介。今後は、これらの業界をターゲットにSBOM管理サービスの利用を促進していくとした。
（岩田晃久）