●RISK

気をつけなければならないリスク

SBOM上の間違いを放置すると、脆弱性の見逃しやOSSライセンス違反、法規対応上の不備など、
SBOMの作成者・利用者両方が無視できないリスクをもたらします。
一方、SBOMに関する研究および弊社支援事例を踏まえても、現在流通しているSBOMが、
作られたままの状態で信頼できるとは言えません。

これらの事例を踏まえると、SBOMは「一旦作った」で終わりにせず、
脆弱性監視・ライセンス管理・法規対応等、用途に応じた
「使える」SBOMになるまで修正することが必要です。
弊社のSBOMクイックレビューサービスは、
お客様が作成・入手されたSBOMを、「使える」SBOMにするまでを支援します。

●SERVICE

サービスの流れ

STEP 01.

SBOM上の不備洗い出し・ご報告

弊社がSBOMを以下の観点からレビューし、問題のある記載をレポートします。

● フォーマットへの不適合が無いか
● 必要情報の記載不備が無いか（例：記載漏れ、リンク切れ）
● 記載内容に矛盾が無いか（例：情報項目間の記載内容矛盾、公知情報との不一致）
● 記載内容から、ソフトウェアを一意に特定可能か
● （オプション）ソフトウェアの実態と齟齬が無いか
（例：ソフトウェアの記載漏れ・誤記載、宣言されたライセンスの誤記載、依存関係の誤記載、ハッシュ生成の誤り）
※SBOM作成対象ソフトウェアに関するデータ
（例：ソースコード・ビルド時生成データ・サードパーティライセンス文書）をご提供必要です。
頂戴したデータで検証可能な範囲での調査となります。

  【アウトプット】
レポートはスプレッドシート形式（Excel、Google Spreadsheet、CSV）の表で提供し、ご報告・質疑対応させて頂きます。
レポートでは、不備発生箇所、不備のカテゴリ・内容、修正しない場合に予想される影響を表に整理して提供します。修正進捗管理欄も設けることで、以降自社で修正を進める際の進捗管理も容易です。

STEP 02.

修正案ご提案・修正代行 ※オプション

Step1.で挙がった不備に対する修正案を弊社からご提案します。

ご指定のSBOMフォーマットの仕様や、記載されたソフトウェアに関する公知情報等を踏まえ、修正版SBOMでの書換・追記データを提案し、スプレッドシート形式のレポートに取りまとめます。
同時に、修正案の妥当性を示す根拠も、SPDX/CycloneDX仕様、要対応法規・規格、ソフトウェアのデータ等からの引用も交えつつ取りまとめいたします。
頂いたデータや公知情報から、妥当と言える修正案をご提示致しかねる場合、SBOM作成者への要確認事項を整理してご提示させて頂きます。
修正案を作成次第、お打ち合わせにてご報告・質疑対応させて頂きます。

修正案にご納得いただけた場合、弊社にてSBOM修正を実施致します。
貴社でSBOMツールを利用中の場合や、機械可読形式であることが要件の場合、修正後のSBOMがSBOMツールで読込可能なことも弊社にて検証します。
※複数SBOMのマージ、SPDX・CycloneDX形式間の変換も対応可能です。

修正案とその根拠、SBOM作成者への要確認事項、修正結果を一覧化したスプレッドシート形式のレポートと、修正版のSBOMを納品致します。
※ご納品時のSBOM共有方法は、貴社ご指定の方法に従います。

STEP 03.

再発防止に向けたSBOM運用改善のご提案 ※オプション

Step1.で挙がった不備を弊社にて分析し、再発防止のために有効と考えられるベストプラクティスや、
貴社のSBOM運用に反映するためのアクションプランをご提案します。

SBOMの作成方法、OSS等ソフトウェア部品管理プロセス、SBOMツールの選定・運用、SBOMに関する教育体系、サプライヤとの契約体系等、様々な観点から改善余地を検討致します。

PDF形式でのレポートをご提供し、ご報告・質疑対応させて頂きます。

●CASE STUDY

これまでの実績

弊社は、以下の支援実績を通じて、実際のソフトウェアサプライチェーンの中で「使える」SBOMが流通する環境整備に貢献してきました。
単にSBOMツールでSBOMを生成・利用するだけに留まらず、
時には機械可読形式のSBOMを目視で読解・手作業で作成することも厭わず、お客様が求めるSBOMの価値を実現可能な状態を担保すべく支援を提供しております。

01.

国内自動車メーカーにおける車載ソフトウェアの SBOM検収・不備修正支援

1. SPDX仕様不適合箇所、内容矛盾、情報欠落箇所の指摘・修正
2. SPDX仕様に適合したSBOMの記載・チェック要領作成

02.

国内自動車メーカーにおけるSBOMツール選定時の ツール出力SBOM評価支援

1. SPDX形式、CycloneDX形式での出力方法特定・出力結果の仕様適合状況比較評価
2. ソースコード・ビルド時生成データと比較した、SBOM情報精度の定量評価 （誤検知・検知漏れ率）

03.

産業機械メーカーにおける欧州CRA対応に向けた SBOM要件定義支援

1. 欧州CRAにおけるSBOM要件・必要運用業務の整理
2. 導入済SBOMツールが出力可能なSBOMにおける、CRA要件対応上の課題・解決策整理

04.

経済産業省におけるSBOM実証実験支援

1. 実証の実作業実施。SBOMツールの運用や、json形式のSBOM手動作成・機械可読性検証を含む
2. ツール出力SBOMにおける、SPDX仕様・米NTIA最小要素の適合性評価

●CLIENT’S VOICE

お客様の声

国内大手自動車メーカー
Open Source Program Office担当者

サプライヤから提出されるSBOMがSBOMツールで読み込めず、記載情報を読んでも何のOSSを指しているかも分からず途方に暮れていました。Syn-Resilientさんは、SPDXの仕様書、ビルドツールのレシピファイル、OSSのソースファイル等も含めてご確認頂き、それらを根拠にSBOMの不備を指摘頂いたことで、サプライヤにも説得力ある修正依頼を出すことができました。

産業機械メーカー
PSIRT担当者

CRAでSBOM要件が含まれているとは聞いていたものの、具体的な要求が分からず今のツールで対応できるのか不安でした。Syn-ResilientさんにはCRAの策定状況から今わかること・予想されることを具体的に整理頂き、ツール出力SBOMの実物も見て頂いて、適合できていないところを出力結果も交えてご指摘頂きました。ツールベンダも見落としていた非対応の要件も見つかり、それは今後の課題ですが、運用でのカバー方法についても様々な案を頂き、安心してCRA対応を進めて行けそうです。

●REVIEW CRITERIA

参考：レビュー基準（例）

各種法規・規格・ガイドライン・ルールや、貴社・取引先の独自要件を踏まえてSBOMレビュー・修正可能です。
貴社の要対応法規・規格やご予算等に応じて実施範囲は調整可能ですので、お気軽にご相談下さいませ。
以下に例示されていないものでも、お見積りの際に対応可能か確認致しますので、作業依頼の際にお気軽にご相談下さいませ。

  ● SBOM仕様
・SPDX（v2.2, v2.3, v3.0。SPDX Liteも対応可能）
・CycloneDX（1.0-1.6）

● 脆弱性アドバイザリ仕様　※SBOM内に埋め込まれた場合も対応可能です。
・Vulnerability-Exploitability eXchange（VEX）
・Common Security Advisory Framework (CSAF)

● 弊社見解に基づく、一般的に必要な情報項目
・ソフトウェア部品管理上の必要項目
・脆弱性対応上の必要項目
・ライセンス対応上の必要項目

● 貴社・取引先の独自要件（情報項目・記載フォーマット）
※独自要件を規定した文書を弊社にご提供頂く必要がございます。

● 各種法規・ガイドライン
・米大統領令の最小要素（NTIA最小要素含む）
・欧州サイバーレジリエンス法（CRA）
・独BSIガイドライン
・日本医療機器産業連合会ガイダンス

● 著名な自動評価ツールによるスキャン
・SBOMAUDIT
・openchain-telco-sbom-validator
・SBOM-sg-SEPIA