KDDI、KDDI総合研究所、富士通、NEC、三菱総合研究所（MRI）は8月1日、サイバーセキュリティの強化を目的に、5GやLTEネットワーク機器などを対象例とした通信分野に対し、ソフトウエアを構成する部品などを記載したリスト「SBOM（Software Bill of Materials）」の導入に向けた実証事業に着手すると発表した。

　5社は本事業に取り組む体制を構築し、7月31日のキックオフミーティングの開催を経て、SBOMの技術面・運用面の課題を整理する調査を本格的に開始する。
　この実証事業は、KDDIが2023年5月11日に総務省から「通信分野におけるSBOMの導入に向けた調査の請負」を受託したことを受け、取り組むものだという。

背景
　通信システムに求められる機能の高度化・多様化およびオープン化に伴い、通信システム内の基幹ソフトウエアの構成はソフトウエア部品の単純な組み合わせから、オープンソースソフトウエア（以下 OSS）などのソフトウエア部品による複雑な組み合わせへと変化してきた。OSSはソフトウエアのソースコードが公開されているため誰でも利用が可能で、豊富な機能や柔軟性を有していることから導入事例が拡大している。
　一方でソフトウエア・サプライチェーンの変化により、OSSを含むソフトウエア部品に対して悪意のあるコードの混入や脆弱性を狙ったサイバー攻撃などが発生している。通信システムにおいても同様に攻撃の被害を受けるリスクが顕在化している。攻撃への対応としてソフトウエア部品の脆弱性情報を収集・提供するデータベースが既に稼働しているが、通信システム内のソフトウエア部品の構成を把握できていない場合、脆弱性が確認された際の迅速な対応が困難だ。そのため、ソフトウエアを構成する様々な部品の一覧やバージョン情報、部品同士の依存関係などをまとめたSBOMの重要性が急速に高まっている。

本事業の取り組み
　今回の実証事業では、SBOMを活用したソフトウエア・サプライチェーンの把握によって、脆弱性などへの迅速な対応を実現する。通信分野におけるサイバーセキュリティを強化するために、以下項目について調査・検討を行うという。

（1）国内外の動向調査および通信分野へのSBOM導入に向けたガイドライン案の検討
　国内外の行政機関や民間団体などによるSBOMに関係した取り組みや既存ガイドラインを調査し、通信機器および当該機器のソフトウエア部品のSBOMを作成・活用するためのガイドライン案を検討する。

（2）通信機器に対するSBOMの作成と課題整理
　実証事業を通じて、通信事業者が実際に運用している設備の一部を対象としてSBOMを作成する。

（3）通信機器に対するSBOMの精度評価
　（2）にて作成したSBOMと、ツールで作成したSBOMの比較評価により、精度評価や通信分野において着目すべき項目について分析することで、SBOMの導入に向けた課題を整理する。

　5社は「サイバーセキュリティを取り巻く様々な環境変化が予見される中、お客さまの生活を支える通信サービスの安定提供のために、今後もサイバーセキュリティの強化に向け貢献していく」としている。