見出し画像

いま話題のSBOMとは?なぜ医療機器の販売やサービス提供に不可欠なのか?

Blue Sheep(構成管理のクラウドサービス)

ソフトウェアサプライチェーンの脆弱性を狙ったサイバー攻撃が増加する中、セキュリティ対策として注目されている「SBOM(エスボム)」
この記事では、SBOMとは何かなぜSBOM管理が重要なのか、また、日本国内で特にSBOMの対応が必須とされる医療機器メーカーにおいて、機器のライフサイクル全体を捉えたSBOM管理の重要性について解説します。


SBOMとは?

SBOMとは、「ソフトウェア部品表(Software Bill of Materials)」の略で、使用するソフトウェアのコンポーネント、各コンポーネントの依存関係、使用ソフトウェアのバージョン情報などをリスト化したものです。

近年、複数のコンポーネントを組み合わせたソフトウェアを使用するケースが増えていますが、SBOM管理を行うことで、使用中のソフトウェアに含まれるコンポーネントやバージョン情報を一覧で可視化できます。

下図のように、医療機器に使用されるソフトウェアのコンポーネント情報とそれぞれのコンポーネントの親子関係がSBOMとしてデータ化されます。

SBOMの概念イメージ
※医薬品医療機器総合機構『医療機器のサイバーセキュリティ要件に対するJIS T 81001-5-1の適用について』をもとに弊社にて作成

つまり、SBOMはソフトウェアの「成分表示」のようなものです。下表のように、ソフトウェアに使用される各コンポーネントが誰によって作成されたのか、バージョン情報、他のコンポーネントとの関係性などを一覧で把握することができます。

SBOMのイメージ
※医薬品医療機器総合機構『医療機器のサイバーセキュリティ要件に対するJIS T 81001-5-1の適用について』をもとに弊社にて作成

すなわち、あるコンポーネントのバージョンに脆弱性や異常が検知された場合、SBOMを確認することで、どの機器に影響があるか、関連するコンポーネントはどれかが一目瞭然になるというわけです。


なぜSBOM管理が重要なのか?

SBOM管理は、サイバーセキュリティ対策において重要視されています。

近年、企業におけるOSS(オープンソースウェア)サードパーティコンポーネントを活用して自社製品やソフトウェアを開発するケースが増えています。しかし、その一方で、ソフトウェアが複雑化し、管理が追いついておらず、そのような脆弱性を狙ったサイバー攻撃が増加しているのが現状です。

SBOM管理を行うことで、使用中のソフトウェアに含まれる各コンポーネントやバージョン情報が可視化され、脆弱性が検知された際にその特定が容易になります。これにより、早期に脆弱性への対応が可能となるため、サイバーセキュリティ対策として大きな効果を発揮します

実際、アメリカではソフトウェアサプライチェーンの脆弱性を狙ったサイバー攻撃を受け、2021年に「サイバーセキュリティ強化に関する大統領令」が発布され、特定のソフトウェアに対してSBOM提出が義務付けられました。

日本でも、経済産業省が「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引」を公開し、医療機器分野や製造業を中心にSBOMの対応が急務となっています。

このように、SBOM管理はサイバーセキュリティ強化の要として注目されており、世界的にSBOMの適切な管理や提出義務化の動きが広まっています。


SBOM管理は医療機器メーカーの必須要件

サイバーセキュリティ強化において注目を集めるSBOMですが、特に医療機器メーカーにおいてはSBOM対応が必須となっています

前章で述べたように、ソフトウェアサプライチェーンの脆弱性を狙ったサイバー攻撃が増加していることを背景に、医療機器規制の国際整合化を目指すIMDRF(国際医療機器規制当局フォーラム)は2020年に「医療機器サイバーセキュリティのためのソフトフェア部品表の原則および実践」というガイダンスを公開しました。

SBOM管理の要求事項
※IMDRFサイバーセキュリティワーキンググループ『医療機器サイバーセキュリティのためのソフトフェア部品表の原則および実践』をもとに弊社にて作成

このようなIMDRFの動きを受け、日本国内では2023年に薬機法が改正され、医療機器メーカーに対するサイバーセキュリティ対策の義務化と、SBOMの収集・生成・配布・維持が必須となりました。

つまり、医療機器メーカーは自社製のソフトウェアコンポーネントだけでなく、他社から調達した組込みソフトウェアのコンポーネントやOSSなども適切に管理しなければなりません。そして、医療機関がSBOMを正しく認識しアクセスできるよう、最新のSBOMを提供することが求められています。

これらの要求事項を満たしていない医療機器は販売が禁止される可能性もあるため、医療機器メーカーにとってSBOM管理は必須要件となっています。


SBOMは医療機器のライフサイクル全体をとらえた管理が重要

前章で述べたように、IMDRFの要求事項に対応するためには、医療機器のSBOM管理が不可欠です。

ここでいう「SBOM管理」とは、医療機器のライフサイクル全体を通じてSBOMを作成、維持、更新、そして活用するプロセスを指します。

つまり、医療機器メーカーにとっては、自社製品だけでなく他社調達品やコンポーネント、OSSを含めた医療機器ライフサイクル全体のSBOMを管理することが重要です。ソフトウェアバージョンの変更が発生した際にはSBOMをアップデートし、脆弱性が検知された場合には、対象となる製品を利用している顧客に対して迅速に報告・対応をすることが求められます。

医療機器のライフサイクル全体を通したSBOM管理のイメージ

SBOM管理は売上拡大のメリットにもつながります。

たとえば、SBOM管理によりソフトウェアのコンポーネントレベルで最新バージョンを確認できるため、脆弱性が検知された際にそのコンポーネントを使用している機器を簡単に特定できます。

さらに、SBOM管理によってEOL(End of Life)/ EOS(End of Service)の把握が容易になり、EOL/EOSが近づいた際に顧客へのリプレース提案が可能となります。

顧客とのサービス契約や構成管理をSBOMと整合して管理することで、適切なタイミングで提案が可能となり、顧客離れの防止やロイヤルカスタマー化にも寄与します!

💡あわせて読みたい!
構成管理ツール「Blue Sheep」のSBOM管理機能をご紹介
https://note.com/blue_sheep_/n/n4f91b9321439

まとめ

医療機器メーカーにとって、他社製品も含めた医療機器のライフサイクル全体においてSBOMを維持・更新し、顧客への適切なアナウンスを行うことは必須です。この実現には、顧客とのサービス契約や機器の構成管理とSBOMを紐づけて管理することが絶対条件となります。

機器のライフサイクル全体を通してSBOM管理を行うことで、サイバーセキュリティ対策だけでなく、バージョンアップ提案やリプレースの促進など、SBOMデータを起点にした販売活動の強化にもつながります。

つまり、医療機器メーカーにとってSBOM管理への取り組みは、機器を販売するための必須条件であり、また効果的な販売活動を実現するためにも不可欠なのです。


弊社、株式会社ビーエスピーソリューションズでは、Salesforce上で構成管理とSBOM管理ができるクラウド型構成管理システム「Blue Sheep」を提供しており、システムの導入だけでなく、業務プロセスの設計から導入後の運用定着化までをエンドツーエンドでご支援しております。

💡Blue Sheep とは?

Salesforceを拡張する、機器の販売・保守サービス事業者向けのクラウドサービス。Blue Sheepを導入することで、Salesforce上の顧客情報に紐づいたSBOM管理・構成管理・変更管理が可能となり、ソフトウェア・ハードウェアのEOL/EOSに合わせたデータドリブンなリプレース提案の強化につながります。

Blue Sheepについて詳しく知りたい方は、こちら🐏

Blue Sheepに関する資料請求やお問い合わせは、こちら🐑