OSS活用に潜むライセンスと脆弱性のリスク、いま求められる適切なSBOM管理とは

　現代のソフトウェア開発において、OSS（Open Source Software）は不可欠な存在だ。無償で利用できるため、開発コストを抑えられ、開発期間も短縮できる。一方で、OSSの利用には大きなリスクも伴う。OSSにはライセンスが存在し、意図せず混入したコンポーネントのライセンスを理解していない場合、コンプライアンス違反に発展する恐れがある。また、OSSに脆弱性が含まれていれば、セキュリティリスクが高まる。

　そのため、OSSを適切に管理することが、企業におけるソフトウェア開発・運用の前提条件となる。このような管理の中核を担う仕組みとして注目されているのがソフトウェア部品表（SBOM）だ。SBOMは、ソフトウェアを構成するコンポーネントやそれらの関係および関連情報を一覧化したものであり、ソフトウェアサプライチェーンに透明性とトレーサビリティーをもたらす。この重要性は、近年ますます高まっている。

　このような動きを背景に、2021年5月の米大統領令を契機としてSBOMへの注目が急速に高まった。本資料では、短時間で要点だけ理解したい人向けに、SBOMの利点や作成方法、導入の進め方を解説する。