かつてソフトウェア開発が「自家薬籠中」のもので、ソースコードを部外(&社外)に持ち出すことがあり得なかった時代には、多くの企業で同じようなコードを書く社会全体では非効率なことが行われていた。これを改善して、皆が使えるコードを公開し合ったのがオープンソース・ソフトウェア(OSS)。
自分で書いていないコードを利用するのが、今では当たり前になっている。効率的ではあるが、その結果自社製品に組み込まれているソフトウェアの由来を管理する必要が出てきて、割合見過ごされがちである。管理がおろそかになると、
・ライセンス違反をしていることに気付かない
・問題(バグ等)があるプログラムを使用していても見逃しがち
になってしまう。特に、昨今のようにソフトウェアの脆弱性を突いたサイバー攻撃が日常化すると、ひとつの製品の問題ではなく社会全体を不安に陥れかねない課題になっていた。
そこでソフトウェアの部品表(Software Bill of Materals:SBOM)という手法が考案され、米国のCISAや欧州のENISAが企業に採用を促している。日本でも今年7月に経産省が「SBOM導入のための手引き(*1)」を公表し、導入のメリットなどを紹介している。
各国政府がこのような管理手法を提唱するのは当然だが、問題は企業や業界がどう実践できるかである。制度は作ったけれど、採用されない、検討中のまま動かない、結局コスト増が嫌われて見送られる・・・ことがよくあるからだ。そこで政府は、政府調達品について採用を義務付けることをし、採用企業に助成金など出し、果てはハードローで強制しようとする。こうなると、民間企業は逆に敬遠して最小限の範囲でこれを採用するよう努力してしまう。
SBOMの件もそうなるのではと危惧していたのだが、今回テルモほかの医療機器メーカーで採用するとの報道(*2)があった。命を預かる機器の製造責任として、積極的な行動をしてもらえたことに感謝したい。このような活動が、他の業界にも広まっていくことを期待する。
*1:「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引」を策定しました (METI/経済産業省)