SBOM利用の準備と対応～基本的な観点の整理と作成・利用法、考慮すべき事柄など～＜会場受講＞

セミナー趣旨

  ソフトウェアのサプライチェーンが複雑化する中で、急激に脅威が増しているソフトウェアのセキュリティを確保するための管理手法としてSBOM（ソフトウェア部品表）が着目され、自動車・医療機器等、様々な分野でSBOMへの対応が求められています。
  SBOMの利用は、「開発製造した製品のSBOMを顧客や納入先の企業や組織に提供する」あるいは「製品の導入や流通に際してSBOMを受け取る」といった、二つの観点に大別されます。
  しかし、多くの場合では両方の観点を併せ持つ必要があります。また、SBOMをやり取りするために予め考慮しておくべき事柄が幾つかあり、これらも含めてどのようにSBOMを利用できるようにするのか、そのためにどこから手をつける必要があるのか、法規制・サプライチェーンの要求事項や実際の運用・リスク管理方法などを概観します。
  尚、当日は、講師によるSBOM作成の実演を行いますが、PCを持込みいただける方は、その際実際にSBOMの作成などを行うことが可能です。
＊PCは必須ではございませんので、持込いただかない場合も、講義上差支えはございません。
＊当日はWiFiを利用しインターネット接続致します。PC持込の際、セキュリティ設定等アクセス環境にご注意下さい。
＊当日、PCの貸出は行いません。また、PC動作不具合等の対応は致しかねますので、予めご了承下さい。

受講対象・レベル

・EU CRAや米国大統領令などの各種法規対応のためにSBOMの作成と提供が求められる企業の方。
・今後法規対応のため、SBOMをメーカーやベンダーから受け取り、脆弱性などのリスク対策が求められている企業や組織の方。

習得できる知識

・SBOMの基本的な目的や使い方、自動化の必要性と課題
・SBOMを使い始めるために準備すべき事柄
・SBOMの作成と利用方法と自組織のプロセスやシステムとの統合の注意点
・現在の法規で求められているSBOMの要件と課題
・SBOMのサプライチェーンリスク管理における利用方法と課題
・現在のSBOM管理ツールの基本的な動作 

セミナープログラム

1.SBOMの概要
　(ア) SBOMが登場した背景
　(イ) SBOMで何をするのか？
　(ウ) SBOMでできることとできないこと
　(エ) SBOMを求められるソフトウェアの種類
　　①自社製ソフトウェア（プロプライエタリ ソフトウェア）
　　②ベンダー/システムインテグレータのソフトウェア（契約に基づくソフトウェア）
　　③商用ソフトウェア（COTS）
　　④オープンソース ソフトウェア（OSS）
　(オ) SBOMとソフトウェア開発ライフサイクル
　　①ライフサイクルを通してSBOMを扱う
2.SBOMの作成と管理（PCによる実演を含む）
　(ア) SBOMのフォーマットと特徴
　(イ) SBOMを利用するためのツール
　(ウ) SBOMの管理とライフサイクル
3.SBOMの共有（流通あるいは提供）
　(ア) 共有のための仕組みやプロセス
4.SBOM の利用に際して考慮すべき事柄
　(ア) 設計/製造BOMとの連携
　　①PLMなど既存のシステムとの連携
　(イ) SBOMの種類、あるいはソフトウェアの種類によるSBOMの違い
　　①サプライヤーのSBOM
　　②オープンソースソフトウェアのSBOM
　　③商用ソフトウェア（COTS）のSBOM
　　④APIやコンテナなどのSBOM
　(ウ) 規制や標準の要求
　　①EU CRA/E.O.14028/FDA/JIS T 81001-5-1 附属書 F トランジションヘルスソフトウェア/JISQ27001:2023
         (ISO27001:2022 Annex A)など
　　②経済産業省 「ソフトウェア管理に向けたSBOM（Software Bill of Materials）の導入に関する手引」
　(エ) 顧客/業界/サプライチェーンの要求
　　①規制に伴う顧客や当局からの要求
5.SBOMを用いた脆弱性への対処（PCを用いた実演を含む）
　(ア) SBOMの作成と、SBOMから脆弱性情報を取得する仕組み
　(イ) 脆弱性情報を用いたリスク分析
＜質疑応答＞

※内容は当日までに変更のある場合がありますので、ご了承ください。

＊途中、お昼休みや小休憩を挟みます。

セミナー講師

 ブラック・ダック・ソフトウェア合同会社 シニア・テクニカルマーケティング・マネージャー　 松岡 正人 氏

■ご略歴
組み込み含む元ソフトウェア開発者。
主に制御システムや組み込みソフトウェア開発を中心に昔ながらのベタな開発現場を経験した後、
日本ラショナルソフトウェア、日本アイ・ビー・エム、日本マイクロソフト、
カスペルスキーで組み込み開発、サイバーセキュリティビジネスに携わる。
2019年よりブラック・ダック・ソフトウェア（旧日本シノプシス ソフトウェア・インテグリティ・グループ）。
■ご専門および得意な分野・研究
OT/IoTセキュリティ
アプリケーションセキュリティ
ソフトウェア・サプライチェーン・リスク管理（SBOM含む）
■本テーマ関連のご活動
・JNSA IoTセキュリティWGリーダー
・セキュリティ・キャンプ2024にてIoTセキュリティとソフトウェアリスク管理の講師
・経済産業省サイバー・フィジカル・セキュリティ確保に向けたソフトウェア管理手法等検討タスクフォースメンバー
・J-AUTO-ISAC SBOM サブWGメンバー
・PwCとソフトウェアサプライチェーン実態調査レポートを共同執筆
　（https://www.pwc.com/jp/ja/knowledge/thoughtleadership/sbom-insight2024.html）
・MONOistにて「ソフトウェアサプライチェーンの守り方」を連載
　（https://monoist.itmedia.co.jp/mn/articles/2212/06/news004.html）
・情報処理学会誌に
 「Supply Chain Security in The Age of Digital Transformation：Overview of Software Bill of Materials (SBOM)」を寄稿
   （https://cir.nii.ac.jp/crid/1390009224756541824）
　その他カンファレンスでの講演多数。

セミナー受講料

1名50,600円(税込（消費税10％）、資料付)
＊1社2名以上同時申込の場合、1名につき39,600円
＊学校法人割引：学生、教員のご参加は受講料50％割引。

受講について

• 感染拡大防止対策にご協力下さい。
• セミナー会場での現金支払いを休止しております。
• 新型コロナウイルスの感染防止の一環として当面の間、昼食の提供サービスは中止させて頂きます。
• 配布資料は、当日セミナー会場でのお渡しとなります。
• 希望者は講師との名刺交換が可能です。
• 録音・録画行為は固くお断り致します。
• 講義中の携帯電話の使用はご遠慮下さい。
• 講義中のパソコン使用は、講義の支障や他の方の迷惑となる場合がありますので、極力お控え下さい。
  場合により、使用をお断りすることがございますので、予めご了承下さい。(＊PC実習講座を除きます。)