ソフトウェア部品表「SBOM」は1つじゃない 「CycloneDX」とは何か？：SBOM「3つのフォーマット」を比較【前編】

企業はSBOM（Software Bill of Materials）を利用したソフトウェア管理によってセキュリティを強化することができる。SBOMにはどのようなフォーマットがあるのか。

[Ravi Das，TechTarget]

　ソフトウェア部品表である「SBOM」（Software Bill of Materials）は、ソフトウェアの各コンポーネントを一覧化し、脆弱（ぜいじゃく）性を特定することに活用できる。SBOMには、以下3つのフォーマットがある。

• CycloneDX
• Software Package Data Exchange（SPDX）
• Software Identification Tag（SWID Tag、またはSWID）

　自社に適しているのはどれなのか。まずはCycloneDXを押さえておこう。

SBOMのフォーマット「CycloneDX」とは？　どんな機能がある？

併せて読みたいお薦め記事

ソフトウェアを安全に開発するには

• 企業が分かっていない「OSSのセキュリティ問題」とは　GitHubが指摘
• 「シフトレフト」とは？　ソフトウェア開発“セキュリティ改革”の切り札

　CycloneDXを提供しているのは、セキュリティ関連のオープンソースソフトウェア（OSS）コミュニティーOWASP（Open Web Application Security Project）だ。CycloneDXはソフトウェア開発において、ソースコードの安全性を高めてセキュリティリスクの低減を図ることを目的としている。他のSBOMフォーマットと比べて軽量なため、小規模な変更を短期間のうちに繰り返すアジャイル型の開発に適していると考えられる。

　具体的には、CycloneDXはソフトウェアのコンポーネントや構成を整理し、一覧で把握できるようにする。セキュリティ担当は一覧を見て、脆弱性を特定・追跡するための情報を手に入れることができる。CycloneDXはマークアップ言語「XML」（Extensible Markup Language）やデータ記述形式「JSON」（JavaScript Object Notation）に準拠している。

CycloneDXの主な機能

• Software as a Service BOM（SaaSBOM）
  • SaaSのさまざまなコンポーネントやサービスを文書化する。「HTTP」「HTTPS」「REST」「GraphQL」「MQTT」に準拠
• Hardware BOM（HBOM）
  • IoT（モノのインターネット）デバイスや産業用制御システムのソフトウェアを文書化
• Machine Learning BOM（ML-BOM）
  • ソフトウェアに組み込まれた機械学習機能や人工知能（AI）モデルを文書化
• Operations BOM（OBOM）
  • ランタイム環境とそのハードウェアやシステム、ファームウェア、ライブラリの詳細を明確化
• Vulnerability Disclosure Report（VDR）
  • ソフトウェアの脆弱性とその修復方法のレポートを作成
• Vulnerability Exploitability eXchange（VEX）
  • 脆弱性についての詳細や、修復の取り組みを文書化

---

　中編は、SPDXを取り上げる。

TechTarget発　世界のインサイト＆ベストプラクティス

米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。