日立ソリューションズ、SBOM管理システムを提供開始

ソフトウェアの高度化やサプライチェーンの複雑化に伴い、SBOMを活用した脆弱性管理の重要性が増しています。特に、AI技術の進展により従来見過ごされていた脆弱性が次々と明らかになっており、各国の法規制も強化されています。しかし、SBOMは生成ツールや提供元によってフォーマットが異なり、識別子の管理や脆弱性の精査に多大な工数がかかることが運用の妨げになっていました。また、機密性の高い設計情報を含むため、クラウド利用に慎重な企業も多く、安全な管理環境が求められていました。

本システムは、こうした課題に対応するため、機密性の高いSBOMデータを安全に管理できるオンプレミス環境を提供します。日本語と英語に対応し、グローバル組織での活用も想定しています。特長として、CPEなどの識別子を自動付与することでソフトウェアと脆弱性情報を正確に紐付け、手作業中心だった確認業務を効率化します。また、脆弱性データベースを継続監視し、新たなリスクが判明した際には自動通知するため、早期の対応が可能です。OSSだけでなく、市販のCOTS製品やプロプライエタリソフトウェアにも対応します。

日立ソリューションズは、本システムの有効性を検証するため、株式会社島津製作所およびヤマハ株式会社と実証実験を行いました。その結果、脆弱性管理業務の工数削減と運用効率化において高い評価を得ています。また、同社はOWASP FoundationやLinux Foundationでの活動を通じて国際標準の発展に貢献しており、その知見をシステムに反映しています。今後は日立グループと連携し、日系企業の海外拠点におけるセキュリティガバナンス強化を支援することで、グローバルでの一貫した運用を目指します。

A. ソフトウェア部品表（SBOM）を一元管理し、脆弱性の検出から対応までを自動化するシステムです。手作業に頼っていた確認業務を効率化し、継続的なリスク監視を可能にします。

A. ソフトウェアサプライチェーンのセキュリティ管理が求められる製造業や、グローバルに事業を展開する企業に適しています。特に、CRAなどの規制対応が必要な企業に有効です。

A. はい、OWASP Dependency-TrackやJira Service Management、ServiceNowなどのセキュリティ管理ツールやITSMツールと連携し、対応の優先順位付けや進捗管理を効率化できます。

• https://dependencytrack.org/
• https://www.hitachi-solutions.co.jp/atlassian/jira-service-management/
• https://www.hitachi-solutions.co.jp/servicenow/
• https://www.hitachi-solutions.co.jp/sbom/solution/lineup-tools/sbom-mgmt-system/
• https://www.hitachi-solutions.co.jp/
• https://www.hitachi-solutions.co.jp/inquiry/

O!Productニュース編集部からのコメント

島津製作所とヤマハで実証済みなのが安心感ありますね。SBOM管理の自動化、特にCRA対応が必要な製造業には刺さりそうです。

引用元：PR TIMES