| 開催日 | 2025年5月29日(木) |
|---|---|
| 開催地 | 東京都 |
SBOM利用の準備と対応
~基本的な観点の整理と作成・利用法、考慮すべき事柄など~
<東京開催講座>
★自動車や医療機器他、様々な分野・業界でサイバーセキュリティ対策として対応が求められるSBOMについて、法規制・サプライチェーンの要求事項や実際の運用・リスク管理方法などについて解説します。
★PCを持込いただいた場合、実際にSBOMの作成等も体験可能です。
講師
ブラック・ダック・ソフトウェア合同会社 シニア・テクニカルマーケティング・マネージャー 松岡 正人 氏
●日時:2025年5月29日(木) 10:30-16:30 *途中、お昼休みや小休憩を挟みます。
●会場:[東京・京急蒲田]大田区産業プラザ(PiO) 6階C会議室
●受講料:
【会場受講】:1名50,600円(税込(消費税10%)、資料付)
*1社2名以上同時申込の場合、1名につき39,600円
*学校法人割引:学生、教員のご参加は受講料50%割引
*受講料やセミナー申し込み~開催までの流れなど、詳細については、弊社HPのセミナーページを必ずご確認ください。
○セミナーポイント
ソフトウェアのサプライチェーンが複雑化する中で、急激に脅威が増しているソフトウェアのセキュリティを確保するための管理手法としてSBOM(ソフトウェア部品表)が着目され、自動車・医療機器等、様々な分野でSBOMへの対応が求められています。
SBOMの利用は、「開発製造した製品のSBOMを顧客や納入先の企業や組織に提供する」あるいは「製品の導入や流通に際してSBOMを受け取る」といった、二つの観点に大別されます。
しかし、多くの場合では両方の観点を併せ持つ必要があります。また、SBOMをやり取りするために予め考慮しておくべき事柄が幾つかあり、これらも含めてどのようにSBOMを利用できるようにするのか、そのためにどこから手をつける必要があるのか、法規制・サプライチェーンの要求事項や実際の運用・リスク管理方法などを概観します。
尚、当日は講師によるSBOM作成の実演を行いますが、PCを持込いただける方は、その際実際にSBOMの作成などを行うことが可能です。
*PCは必須ではございませんので、持込いただかない場合も、講義上差支えはございません。
*当日はWiFiを利用しインターネット接続致します。PC持込の際、セキュリティ設定等アクセス環境にご注意下さい。
*当日、PCの貸出は行いません。また、PC動作不具合等の対応は致しかねますので、予めご了承下さい。
○受講対象:
・EU CRAや米国大統領令などの各種法規対応のためにSBOMの作成と提供が求められる企業の方。
・今後法規対応のため、SBOMをメーカーやベンダーから受け取り、脆弱性などのリスク対策が求められている企業や組織の方。
○受講後、習得できること:
・SBOMの基本的な目的や使い方、自動化の必要性と課題
・SBOMを使い始めるために準備すべき事柄
・SBOMの作成と利用方法と自組織のプロセスやシステムとの統合の注意点
・現在の法規で求められているSBOMの要件と課題
・SBOMのサプライチェーンリスク管理における利用方法と課題
・現在のSBOM管理ツールの基本的な動作
セミナー内容
※内容は当日までに変更のある場合がありますので、ご了承ください。
1.SBOMの概要
(ア)SBOMが登場した背景
(イ)SBOMで何をするのか?
(ウ)SBOMでできることとできないこと
(エ)SBOMを求められるソフトウェアの種類
①自社製ソフトウェア(プロプライエタリ ソフトウェア)
②ベンダー/システムインテグレータのソフトウェア(契約に基づくソフトウェア)
③商用ソフトウェア(COTS)
④オープンソース ソフトウェア(OSS)
(オ)SBOMとソフトウェア開発ライフサイクル
①ライフサイクルを通してSBOMを扱う
2.SBOMの作成と管理(PCによる実演を含む)
(ア)SBOMのフォーマットと特徴
(イ)SBOMを利用するためのツール
(ウ)SBOMの管理とライフサイクル
3.SBOMの共有(流通あるいは提供)
(ア)共有のための仕組みやプロセス
4.SBOM の利用に際して考慮すべき事柄
(ア)設計/製造BOMとの連携
①PLMなど既存のシステムとの連携
(イ)SBOMの種類、あるいはソフトウェアの種類によるSBOMの違い
①サプライヤーのSBOM
②オープンソースソフトウェアのSBOM
③商用ソフトウェア(COTS)のSBOM
④APIやコンテナなどのSBOM
(ウ)規制や標準の要求
①EU CRA/E.O.14028/FDA/JIS T 81001-5-1 附属書 F トランジションヘルスソフトウェア/JISQ27001:2023 (ISO27001:2022 Annex A)など
②経済産業省 「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引」
(エ)顧客/業界/サプライチェーンの要求
①規制に伴う顧客や当局からの要求
5.SBOMを用いた脆弱性への対処(PCを用いた実演を含む)
(ア)SBOMの作成と、SBOMから脆弱性情報を取得する仕組み
(イ)脆弱性情報を用いたリスク分析
<質疑応答>
