SBOM・OSS活用開発支援
近年、ソフトウェア開発におけるオープンソースソフトウェア(OSS)利活用の拡大に伴うライセンス・脆弱性リスクによる損害の防止や、説明責任、規制対応を果たすため、SBOM(Software Bill of Materials)と呼ばれるソフトウェアに含まれるOSSを管理できる部品表の整備が自動車・医療業界をはじめ様々な分野で求められています。
CovalentではOSS管理のプランを策定し、お客様に見合った最適なSBOMツールと運用体制の設計を得意としています。また、SBOMの運用人員の確保が難しいお客様の代わりにSBOM運用を代行することも可能です。
弊社は経済産業省のSBOM実証への参画経験や、SBOM運用業務の経験、海外における最新のSBOM活用の知見が特長です。OSS管理について何から手を付ければよいか分からない方には無料診断も可能です。
アウトプットイメージ等サービスの詳細を把握されたい場合は以下より詳細資料をご請求ください。
Partnership
パートナーシップ
海外の主要なSBOMツールについては全てご紹介が可能です。
ISSUES
イシュー
-
そもそもSBOMとは何か、自社に必要か否か分からない
-
WP29対応に向けてSBOM導入が必要なのは分かるが、具体的に必要な業務が詳しく分からない
-
SBOMに関する海外同業他社の取り組み内容を知りたい
-
SBOM導入のスケジュールが分からない
SBOMツール導入・運用構築に関するお悩み
-
SBOMツールの運用設計をどうすればよいか分からない
-
SBOM対応に伴い、対OEM・対サプライヤの契約をどう変更必要か、いかに交渉すべきか分からない
-
SBOMツールを導入したはいいが、使い方が分からない・使う時間が無い等で、全く使われていない
SBOM導入検討に関するお悩み
SBOMツールの選定に関するお悩み
-
あまたあるSBOMツールのどれが良いのか分からない
-
そもそも、自社のSBOMツールに対する要件を定義できず、ツール評価のしようがない
-
SBOMツールを実際に試し、評価選定をする時間が取れない
SERVICE MENU
サービスメニュー
導入プラン策定支援
まずはお客様のOSS管理に関する法令や規格上の要件、ニーズなどから実施要領を整理します。それを踏まえ、お客様に必要なSBOM運用、OSSセキュリティ・コンプライアンス対応と、お客様の現状とのギャップを埋めるためのアクティビティを設計し、各国法令・国際規格、OEM対応上のデッドラインや、他社事例でのSBOM導入タイムライン等を踏まえてSBOM導入スケジュールを設計します。
SBOMツールのPoC・選定支援
お客様の開発環境や取引先の要求・関連法令等を踏まえSBOMツールの評価選定基準を策定します。評価上の必要情報が得られますよう、SBOMツールのPoCを計画・実行します。評価選定基準とPoC結果を踏まえ、最適なSBOMツールを選定します。なお、弊社は主要なSBOMツールについて全て利用実績がございます。
SBOMツール導入・運用構築支援
選定したSBOMツールを運用できるようにセットアップします。具体的には選定したSBOMツールに見合った運用業務と役割分担、運用ルール、運用体制を整備します。取引先との契約に具備するSBOM運用上必要な条項についても適宜反映させて頂きます。自社でのSBOM対応人員確保が難しい場合は弊社でのSBOM運用によるOSS部品管理、脆弱性・ライセンス管理の運用支援サービスも提供できます。
APPROACH
アプローチ
導入プラン策定支援
1
1
政府・規制情報調査
約1週間
国内・海外のOSS管理、脆弱性・ライセンス管理・対応に関連する法律・規制の列挙し、その中で定められている義務内容、責任範囲等について整理します。
アウトプット:関連法規内容の調査結果
2
他社ベンチマーク調査
約1カ月~
他社事例における、OSS管理、脆弱性・ライセンス管理・対応での責任範囲・担当範囲や運用ルール(例:検出タイミング・更新頻度、脆弱性・ライセンス違反検出時の対応要否判断基準・標準対応時間等)、各作業の成果物フォーマット、OSS管理、脆弱性・ライセンス管理・対応上使用しているSBOMツールや連携ツール、発生した課題と解決方法を調査して取りまとめます。
アウトプット:先行事例の調査結果
3
契約体系整備支援
約2週間
OEM/Tier1/Tier2間の契約における、OSS/脆弱性/ライセンス検出と脆弱性・ライセンス違反時の義務内容や、開発範囲に対するOSS検出・脆弱性管理・ライセンス管理の実施主体と、責任主体(金銭負担・法的責任を負う者)の契約スキームを整備します。脆弱性・ライセンス違反対応の不備による想定損失額の診断、コンプライアンスリスク・サイバーセキュリティ事故の潜在インパクトを類似事例から試算して取りまとめます(セキュリティ関連法規の専門弁護士の最終チェックも行います)。
アウトプット:契約スキーム(経済条件、役割・責任範囲)の整理
4
SBOM対応基準・体制設計
約2週間
他社ベンチマークや、各種法令・国際規格、OEMのサプライヤへの要件を踏まえ、お客様に必要なSBOM運用、OSSセキュリティ・コンプライアンス対応と、お客様現状とのギャップを埋めるためのアクティビティを設計します。
アウトプット:SBOM運用ルール概要
5
導入スケジュール設計
約2週間
各国法令・国際規格、OEM対応上のデッドラインや、他社事例でのSBOM導入タイムライン等を踏まえ、お客様におけるSBOM導入プロセスやスケジュールを設計します。また、お客様への導入にあたり必要なPoCの種類・期間を整理します。
アウトプット:SBOM導入スケジュール全体像およびPoCの実施スケジュール
SBOMツールのPoC・選定支援
1
お客様におけるSBOMツールの要件定義
約1週間
お客様の開発SWや開発プロセス・環境(例:ソースコードにアクセス可能か)、関連法令・取引先からの要件、お客様予算等に基づき、お客様で導入すべきSBOMツールの要件を定義します。
アウトプット:要件定義結果
2
PoC対象とするSBOMツール候補の絞り込み
1カ月~
要件定義を基に、該当し得るSBOMツールの候補を調査の上、有望な選択肢をご提示致します。
アウトプット:SBOMツール候補
3
PoC計画の策定
1カ月~
要件定義に基づき、ツールの評価選定基準と選定のためSBOMツールのPoCにおいて検証必要な項目および検証方法を策定します。また、PoC実施に必要なお客様データの要件を整理します。
アウトプット:PoCの実行計画
1
4
PoCの実行
1カ月~
策定した計画に沿ってPoCを実行します。弊社がツールベンダとの折衝・PoC時の作業を代行するハンズオンでの支援も可能です。
アウトプット:PoC実行結果
5
PoC結果に基づくSBOMツール選定
約2週間
PoC結果を整理の上、評価選定基準に基づきお客様に最適なツールを選定します。
アウトプット:SBOMツール選定結果
SBOMツールのPoC・選定支援
1
SBOMツールのセットアップ
約1週間
お客様のOSS管理の対応上合理的な機能/性能と導入・運用コストを有するSBOMツールをセットアッ。プします。SBOMツールと連携が必要な開発ツールについても合わせてセットアップします。
アウトプット:SBOMツールの導入準備
2
SBOM運用業務と役割分担の設計
約1週間
SBOM運用に必要かつ、法規対応も加味した業務の定義(例:OSS検出⇒誤検知・検知漏れ修正⇒・・・)の上、運用業務上必要な役割を設計します。
アウトプット:SBOM運用業務の概要と役割分担
3
SBOM運用ルールの設計
約1週間
SBOM運用に関わる詳細なルールを設計します。OSS/脆弱性/ライセンス検出・対応の責任/担当範囲、業務の実行タイミング・頻度、OSS/脆弱性/ライセンス検出・対応の標準対応時間、脆弱性・ライセンス違反検出時の対応要否判断基準等を検討します。
アウトプット:SBOM運用ルールの詳細
4
SBOM運用体制の設計
約1週間
運用業務上必要な各役割の担当部署・役職、担当者と、担当者間の連携ルール(例:脆弱性・ライセンス違反検知時のエスカレーションルール)を設計します。
アウトプット:SBOM運用体制の詳細
5
取引先との契約体系
約2週間
SBOM運用業務に関する、OEM・サプライヤとの作業分担、金銭負担・法的責任の所在を明確化し、契約への反映を支援します。
アウトプット:契約体系及び契約書
1
ADVANTAGE
アドバンテージ
海外のSBOM活用の最新動向を把握でき、また、経済産業省のSBOM実証経験に基く、適切なSBOMツールのPoCが可能
お客様にとって現実的な導入スケジュールを設計したり、お客様のビジネス・業務実態を踏まえ、適切なPoCの評価軸を設計したりできる
SBOM運用の実作業の経験と、自動車業界における組込ソフトウェア開発への知見を組み合わせた、現実的なSBOM運用をご提案可能
弊社パートナーのリソースも生かし、SBOM運用が大規模化しても代行が可能
OUTPUT
アウトプット
SBOMスキャンによるOSS一覧
SBOMツールを用いてお客様のソフトウェア製品に含まれるOSS一覧を整理します。
必要に応じて取引先様への確認も代行させて頂き正確なOSS一覧を作成させて頂きます。
OSS管理体制構築
お客様の製品に含まれているOSSについて、脆弱性リスクやコンプライアンスリスクに対応するためのルールや運用体制を構築します。自社内で実施する内容と社外協力者に依頼する範囲の切り分けも含めて整理致します。
OSS運用支援
本業ではない、専門性がない、など様々な理由で自社にて対応する選択を選ばないお客様の代わりにOSSの運用を代行させて頂きます。週次のレポート提供はもちろん、有事の際には即座に連絡させて頂き解決するまでご支援を続けさせて頂きます。
TRACK RECORD
実績
KPI
クライアント業種数 4業種
複数回契約のクライアント割合 約95.5%
効果を得られたプロジェクト割合 100%
平均契約期間 約6か月間
取り扱いSBOMツール数 32種類
スペシャリストメンバー数 約9名
CASE STUDY
 自動運転開発ツール自動運転開発ツールを提供する企業におけるOSS管理と運用体制を設計。SBOMツールの導入支援も実施。 |  OSS管理体制の設計自動車部品サプライヤにおけるOSS管理に向けた開発管理体制を設計。担当者の設定とツール導入、マニュアル整備を担当。 |  OSS管理の運用支援オンラインゲームにおけるOSSを管理し、バージョンアップデートに伴うライセンス違反や脆弱性データのモニタリングを実施。 |
|---|---|---|
 Coming SoonComing Soon |  Coming SoonComing Soon |
CLIENTS’ VOICE
お客様の声
大手自動車部品メーカー様
海外で実績ある事例に基づく提案が助かった
国内ではまだ実績が非常に少ない中、海外の大手競合での事例に基づいた提案が非常に役立った。やりすぎかどうか判断し難い時には特に助かりました。
また、経営層に報告する際も資料の大部分を取りまとめ頂きコンサルティングとしても非常に貢献頂き今後も継続してお取引を続けたいと思います。
大手ソフト開発会社様
運用を第三者に任せる利便性を感じました
当初はソフトウェア資産の棚卸と管理を第三者に依頼することにリスクが高いと考えるメンバーもいましたが、正しくOSSを洗い出して頂きベンダーへの確認作業も含めて担って頂き非常に有意義に感じました。
その後の運用もお任せするのは当然の流れでしたがハードルが高い社内調整も一緒に進めて頂けたことで無事委託することができて非常に助かってます。