不定期配信　マウスちゃんとメモリ主任のＩＴ１年生３５

情報の重要性が増す昨今、弊社では情報セキュリティについて、その意義や情報を共有する取り組みを続けています。
担当チームが社内向けにまとめた資料などを基に、軽い読み物を不定期でお届けできればと思いますので、ご笑覧頂ければ幸いでございます。

　難しい顔をして手のなかの箱を見つめるイーさん。マウスちゃんが声を掛けます。
「どうしたんですか、イーさん？」
「コンビニで美味しそうなチョコを見つけて買ったんだけど、成分表をみたら・・・」
「・・・あー、なるほど。これは運転する時には食べない方が良いですねえ。」
「やっぱりそうだよね。あーあ、家に帰るまでお預けかあ。」
「最近では売り場にも表示してあったりしますけどね。まあ、食べる前に気づいて良かったじゃないですか。」
「確かに。普段、成分表なんか確認しないからなあ。」
「・・・そういえば、イーさん、『ＳＢＯＭ』って知ってますか？」

「『エスボム』？なんか怖そうな名前だね。」
「『Ｓｏｆｔｗａｒｅ　Ｂｉｌｌ　Ｏｆ　Ｍａｔｅｒｉａｌｓ』の略で『ＳＢＯＭ』です。日本語だと『ソフトウェア部品表』って言われたりしますね。自社の情報システムにどんなソフトウェアが使われているか、そのソフトウェアにはどんなプログラムが含まれているか、それはどこがつくったもので権利は誰が持っているか、などを一覧にしたリストのことです。」
「つまり、情報システムの成分表？」
「そんな感じです。２０２１年にアメリカの大統領令で政府関連機関が調達するソフトウェアにはＳＢＯＭを作成・提供すること、っていう項目が盛り込まれたことで注目されるようになったそうですよ。」

「チョコや食べ物なら何が入っているかは大事なことだけど、情報システムでも成分表が大切なの？」
「今は多くの企業で、機械を動かすのも伝票を発行するのも在庫を管理するのにもコンピューター、つまりソフトウェアを利用していますよね。それを自社の技術者が全部一からつくって管理してるなら良いかもしれませんけど、自社でつくったものもあれば買ったものもあるし、つくるにしても買うにしても、そのソフトウェアの部品になるプログラムはよその誰かがつくったものを利用させてもらっている、という例が多いんです。で、ＳＢＯＭがない状態で、そのどれかのプログラムに脆弱性があったとすると。」
「リストがないと、脆弱性があるプログラムを使っているかどうかが分からなくて、知らずに危険な状態のまま使い続けちゃうってことか。」
「そういうことです。また、リストがなければ、あるプログラムの脆弱性が公表されたときに、自社の情報システムでそれを使っているかどうかを全部検査しなくちゃならなくなります。そういった、情報セキュリティを守ることや、守るうえでの手間を軽減する意味で、ＳＢＯＭの普及が世界的な流れになっている、って、メモリ主任が仰っていました。」

「まだ普及途上の技術なので、どの程度までリスト化するかの標準も決まっていないし、リストに抜けがあったらどうするんだ、とか、ソフトウェアをつくった会社がどんなプログラムを使っているか公開したくない場合はどうするんだ、とか、課題もあるってメモリ主任は仰っていましたけど。ただ、２０２３年に経済産業省が主にソフトウェアのサプライヤー向けにってことでＳＢＯＭ導入の手引きを公開していますし、日本でもそのうち義務化ってことになるかもしれないってメモリ主任は仰ってました。」
　なんか、マウスさんの「ＩＴ知識」のＳＢＯＭには「メモリ主任」って書かれてそうだな、とイーさんはぼんやり考えます。
「ところでイーさん？」
「え、な、何？」
「・・・『今年のバレンタインは、僕、何も要らないからね！ダイエット中だから！』って仰っていませんでしたか？」
「あ、えーと・・・」
　冷や汗とともに言い訳を考えながら、マウスさんの「口調」や「視線」のＳＢＯＭにも「メモリ主任」って書かれてそう、と、知られたら怒られそうなことを考えるイーさんなのでした。