本論は,産業界におけるSBOMの現状を記したものである.SBOMは,2021年の米国の大統領令でその効果とSBOMの運用管理されていない製品は,米国政府調達から除外されることが記載されていたことから,にわかにセキュリティ分野のバズワードになった.さらにEUサイバーレジリエンス法案が提案(2022年9月に草案が提出,2025年後半の適用を目指している)されたこともあり,海外輸出の売上割合が高い製造業を中心に,最優先の対策事項の一つとなった.
製造業にとっては死活問題となるこの課題に対して,自動車業界では業界団体でのガイドライン策定による標準化が進行し,医療/医療機器業界では薬機法などの法整備も進んでいる.SBOMは,このような製造業の設計開発部門と製造部門から普及していくと思われる.
一方で,企業の情報システム部門やセキュリティ部門におけるSBOM普及には,まだまだ時間がかかると思われる.その理由は,①OSS管理ツール自体が高額で購入できる企業の絶対数が少ない事,②製造業の設計開発部門や製造部門と異なり,部品表(BOM)による管理ノウハウが無い事の2つである.
産業界のSBOMは,全体が同時に普及する形式ではないだろう.業界ごとにかなり差のある普及曲線を描くことになると思われ,自動車,医療/医療機器業界を筆頭として,製造業において「法整備」や「業界内での標準化」を終えた業界や分野から普及し,市場はゆっくりと拡大していくと予測する.
抄録全体を表示