近年、サプライチェーン攻撃の増加に伴い、SBOM(ソフトウェア部品表)を活用した脆弱性管理が注目を集めています。
2025年10月現在、自動車業界では車両に対するSBOMの提出を義務付ける法律は存在しませんが、2024年12月にIoT製品を対象としたSBOM提出を義務付ける「CRA(Cyber Resilience Act)」が欧州で施行されるなど、SBOMの整備に関する規制・検討が活発に行われています。特に、自動車の開発には多くのサプライチェーンが関与しており、米国で施行されたコネクテッドカー規制の当初案でもSBOMに関する記載があったように、脆弱性管理におけるSBOMの重要性は一層高まっています。
SBOMの導入に際しては、単にツールを導入するだけでは不十分で、目的や体制、既存の社内プロセスとの整合性など、さまざまな観点を考慮した計画的な導入が求められます。さらに、SBOM管理ツールを活用した日々の脆弱性管理では、膨大な数の脆弱性に対応する必要があり、トリアージなどの一次対応方針の検討や、導入後の効率的な運用体制の構築が重要となります。
NDIASのSBOM支援サービスでは、お客様の既存プロセスや課題を踏まえたSBOM管理ツールの導入から、日々の脆弱性管理・運用改善に至るまで、幅広いサポートをワンストップで提供します。
SBOM導入に関するお悩みを解決し、効率的かつ効果的な運用を実現します。
- Point 1. ワンストップでのSBOM導入支援
SBOM管理ツールを導入する際には、ツールの選定だけでなく、既存プロセスへの適合性の確認、現状の課題整理、導入後の実運用体制の構築など、さまざまな要素を考慮する必要があります。また、UN-R155やISO/SAE 21434などの法規・規格に関する知識に加え、脆弱性対応の範囲を適切に見極める相場観 も求められます。
さらに、導入の目的や方針を誤ると、逆に管理や運用コストが増大するリスクもあります。そのため、目的を明確にし、適切なプロセスを構築することが重要です。
本サービスでは、NDIAS弊社が培ったプロセス構築・改訂のノウハウ、そして日々の脆弱性監視運用の支援実績を活かし、効率的な脆弱性管理の構築を支援します。現状のプロセスに潜む課題を把握し、それを改善するためのツール選定や運用設計を含めた包括的なサポートをご提供します。
- Point 2. 実運用をフォローするための支援
SBOM管理ツールを導入した後は、日々多数の脆弱性が検知されることが予想されます。そのため、効果的な運用には、検知された脆弱性に対するトリアージ、対応方針の明確化が欠かせません。
NDIAS弊社では、脆弱性判断の方針策定をサポートするとともに、特定の脆弱性についての詳細な解説が必要な場合にも対応可能です。また、サプライヤー様への影響確認が必要な場合には、そのプロセスを円滑に進めるための支援も行います。これにより、日々の運用がスムーズに進むよう支援を行います。