1. HOME
  2. KAYO NEWS
  3. 不定期配信 マウスちゃんとメモリ主任のIT1年生35

KAYO NEWS

華陽ニュース

不定期配信 マウスちゃんとメモリ主任のIT1年生35

情報の重要性が増す昨今、弊社では情報セキュリティについて、その意義や情報を共有する取り組みを続けています。
担当チームが社内向けにまとめた資料などを基に、軽い読み物を不定期でお届けできればと思いますので、ご笑覧頂ければ幸いでございます。

 難しい顔をして手のなかの箱を見つめるイーさん。マウスちゃんが声を掛けます。
「どうしたんですか、イーさん?」
「コンビニで美味しそうなチョコを見つけて買ったんだけど、成分表をみたら・・・」
「・・・あー、なるほど。これは運転する時には食べない方が良いですねえ。」
「やっぱりそうだよね。あーあ、家に帰るまでお預けかあ。」
「最近では売り場にも表示してあったりしますけどね。まあ、食べる前に気づいて良かったじゃないですか。」
「確かに。普段、成分表なんか確認しないからなあ。」
「・・・そういえば、イーさん、『SBOM』って知ってますか?」

「『エスボム』?なんか怖そうな名前だね。」
「『Software Bill Of Materials』の略で『SBOM』です。日本語だと『ソフトウェア部品表』って言われたりしますね。自社の情報システムにどんなソフトウェアが使われているか、そのソフトウェアにはどんなプログラムが含まれているか、それはどこがつくったもので権利は誰が持っているか、などを一覧にしたリストのことです。」
「つまり、情報システムの成分表?」
「そんな感じです。2021年にアメリカの大統領令で政府関連機関が調達するソフトウェアにはSBOMを作成・提供すること、っていう項目が盛り込まれたことで注目されるようになったそうですよ。」

「チョコや食べ物なら何が入っているかは大事なことだけど、情報システムでも成分表が大切なの?」
「今は多くの企業で、機械を動かすのも伝票を発行するのも在庫を管理するのにもコンピューター、つまりソフトウェアを利用していますよね。それを自社の技術者が全部一からつくって管理してるなら良いかもしれませんけど、自社でつくったものもあれば買ったものもあるし、つくるにしても買うにしても、そのソフトウェアの部品になるプログラムはよその誰かがつくったものを利用させてもらっている、という例が多いんです。で、SBOMがない状態で、そのどれかのプログラムに脆弱性があったとすると。」
「リストがないと、脆弱性があるプログラムを使っているかどうかが分からなくて、知らずに危険な状態のまま使い続けちゃうってことか。」
「そういうことです。また、リストがなければ、あるプログラムの脆弱性が公表されたときに、自社の情報システムでそれを使っているかどうかを全部検査しなくちゃならなくなります。そういった、情報セキュリティを守ることや、守るうえでの手間を軽減する意味で、SBOMの普及が世界的な流れになっている、って、メモリ主任が仰っていました。」

「まだ普及途上の技術なので、どの程度までリスト化するかの標準も決まっていないし、リストに抜けがあったらどうするんだ、とか、ソフトウェアをつくった会社がどんなプログラムを使っているか公開したくない場合はどうするんだ、とか、課題もあるってメモリ主任は仰っていましたけど。ただ、2023年に経済産業省が主にソフトウェアのサプライヤー向けにってことでSBOM導入の手引きを公開していますし、日本でもそのうち義務化ってことになるかもしれないってメモリ主任は仰ってました。」
 なんか、マウスさんの「IT知識」のSBOMには「メモリ主任」って書かれてそうだな、とイーさんはぼんやり考えます。
「ところでイーさん?」
「え、な、何?」
「・・・『今年のバレンタインは、僕、何も要らないからね!ダイエット中だから!』って仰っていませんでしたか?」
「あ、えーと・・・」
 冷や汗とともに言い訳を考えながら、マウスさんの「口調」や「視線」のSBOMにも「メモリ主任」って書かれてそう、と、知られたら怒られそうなことを考えるイーさんなのでした。