SBOMフォーマット「SWID Tag」は「CycloneDX」や「SPDX」と何が違う？：SBOM「3つのフォーマット」を比較【後編】

「SBOM」（Software Bill of Materials）の複数のフォーマットの中で、「SWID Tag」は他のものと少し位置付けが違う。CycloneDX、SPDXとは何が異なるのか。利用するメリットとは。

[Ravi Das，TechTarget]

　ソフトウェア部品表である「SBOM」（Software Bill of Materials）には、以下3つのフォーマットがある。

• CycloneDX
• Software Package Data Exchange（SPDX）
• Software Identification Tag（SWID Tag、またはSWID）

　このうち、SWID Tagは少し特殊だ。それはなぜなのか。CycloneDX、SPDXと比較しながらSWID Tagの特徴を整理しよう。

「SWID Tag」とは？　CycloneDX、SPDXとは何が違う？

併せて読みたいお薦め記事

連載：SBOM「3つのフォーマット」を比較

• 前編：ソフトウェア部品表「SBOM」は1つじゃない　「CycloneDX」とは何か？
• 中編：ソフトウェア部品表「SBOM」のフォーマットとは？　国際標準「SPDX」の中身

ソフトウェアを安全に開発するには

• 企業が分かっていない「OSSのセキュリティ問題」とは　GitHubが指摘
• 「シフトレフト」とは？　ソフトウェア開発“セキュリティ改革”の切り札

　SWID Tagは米国立標準技術研究所（NIST：National Institute of Standards and Technology）が開発している。CycloneDXやSPDXと異なり、全てのソフトウェア情報を集約するものではないため、完全なSBOMフォーマットとは言えない。SWID Tagはソフトウェア開発者がソフトウェアの各コンポーネントに付ける“タグ”だ。インストールされたソフトウェアを追跡し、ライセンス管理やパッチ（修正プログラム）管理ができる。

　SWID Tagを自動スキャンツールに統合して、脆弱（ぜいじゃく）性スキャンに利用することができる。NISTはSWID Tagのデータを米国政府の脆弱性データベース「National Vulunerability Database」（NVD）や、脆弱性管理を自動化するための基準「Secure Content Automation Protocol」（SCAP、セキュリティ設定共通化手順）に追加している。

　SWID Tagはソフトウェアの追跡に加え、ユーザー企業に以下のメリットをもたらす。

• ソフトウェア開発プロセスで使用されているコンポーネントが組織のセキュリティポリシーに準拠しているかどうかを判断できる
• 全てのソフトウェアのパッチとアップデートが適用されているかどうかを確認できる
• 有効な設定プロセスが実施されているかどうかを確認できる
• 古いソフトウェアを特定し、新しいバージョンに置き換えることができる
• ソフトウェアに加えられた変更を検出できる
• 不正なソフトウェアのインストールを防止できる

TechTarget発　世界のインサイト＆ベストプラクティス

米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。