SBOM 【Software Bill of Materials】 ソフトウェア部品表 / ソフトウェアBOM

概要

SBOM（Software Bill of Materials）とは、ソフトウェアがどのような構成要素(モジュール、ライブラリなど)から成り立っているかを一覧できるリスト。製造業の部品表(BOM：Bill Of Materials)をソフトウェアに適用したもの。

企業などが用いる大規模なソフトウェアは独自開発のソースコード群のみで成り立っているとは限らず、外部のモジュール、パッケージ、コンポーネント、ライブラリなどを組み合わせて構成されることが増えている。

これらは企業などが販売する有償の製品、オープンソースソフトウェアなどが混在し、それぞれ固有の使用・配布条件（ライセンス）を課していたり、さらに外部の別のモジュールなどの存在に依存しており、必ず一緒に導入しなければならないなど個別の事情がある。

ソフトウェアの開発や更新の際にこのような構成部品となるソフトウェア群の情報を専用のデータベースなどに記録し、開発元、バージョン、ライセンス、依存関係などを後から簡単に一覧、参照できるようにするのがSBOMの考え方である。

近年では広く普及したオープンソースのライブラリなどに深刻なゼロデイ脆弱性が発見されたり、悪意のあるコードの混入や差し替えなどの事象が発生した際に、企業や官公庁が自らの情報システムに含まれるかどうかを即座に判断できず対応が遅れる事例が報告されており、SBOM整備の必要性が叫ばれている。

この記事の著者 ： (株)インセプト IT用語辞典 e-Words 編集部
1997年8月より「IT用語辞典 e-Words」を執筆・編集しています。累計公開記事数は1万ページ以上、累計サイト訪問者数は1億人以上です。学術論文や官公庁の資料などへも多数の記事が引用・参照されています。