Cover Image

PBOMとSBOMを解き明かす:2つの重要な違いとは
2024/5月/22 - 読み終える時間: 2 分

Demystifying PBOM and SBOM: Understanding the Key Differences の翻訳版です。

PBOMとSBOMを解き明かす:2つの重要な違いとは

2024年5月17日

著者: Nabeel Jaitapker / Product Marketing Lead, HCLSoftware

現在、私たちの生活のほぼすべての面にテクノロジーが浸透しています。このような中では、デジタルインフラの複雑さを把握することが不可欠、且つ優先度が高い事項となっています。

テクノロジーと製品開発をめぐる議論でよく出てくる用語が2つあります。パイプライン部品表(PBOM)とソフトウェア部品表(SBOM)です。この2つは似ているように聞こえるかもしれませんが、それぞれ異なる目的を持ち、製品開発と管理の異なる側面に対応しています。

PBOMとSBOMの違いをより明確に理解し、テクノロジーエコシステムにおけるそれぞれの役割を理解するために、PBOMとSBOMの性質について掘り下げてみましょう。

パイプライン部品表(PBOM)

PBOMは、ソフトウェアの最初のコード行からリリースに至るまでの系統を包括的に記したリアルタイムのリストです。PBOMは、ソフトウェア開発ライフサイクル全体において、ソフトウェアが経たすべての過程を追跡します。PBOMは、全ビルドの整合性を保証し、運用中のすべてのアプリケーションが安全であることを確認し、攻撃対象領域を最小限に抑えます。

主な機能は次のとおりです。

  • パイプラインの完全な可視化: PBOMは、すべてのパイプラインブランチ、ビルド、プルリクエスト、チケット、既知の問題、脆弱性管理を自動的に追跡します。これにより開発チームは、リポジトリ、CI/CD、成果物、クラウドデプロイメントを含むビルドフロー全体をドリルダウンできます。

  • ソフトウェアの完全性: PBOMは、ソフトウェアが正しいソースと依存関係からビルドされ、ビルドプロセス中に変更されていないことを保証します。コミットの異常、レビューのないコミット、プロジェクトに参加していないコミッターからのコミットをスキャンします。

  • 完全なトレーサビリティ: PBOMは、変更の適切な文書化から各バージョンのリリースのトレースまで、すべてのパイプラインの変更を継続的に監視します。これにより、開発を遅らせることなく、ソフトウェアサプライチェーンの安全性を確保します。

ソフトウェア部品表(SBOM)

一方、SBOMは、特定の製品やアプリケーションで使用されるソフトウェアコンポーネントの詳細なインベントリです。オープンソースライブラリ、サードパーティの依存関係、およびそれらに関連する脆弱性を特定し、ソフトウェアサプライチェーンに透明性をもたらします。

主な機能は以下のとおりです。

  • コンポーネントの特定: SBOM は、ライブラリ、フレームワーク、モジュールなど、製品で使用されるすべてのソフトウェアコンポーネントを識別します。この可視性は、ソフトウェアの構成とその潜在的なセキュリティへの影響を理解する上で極めて重要です。

  • 脆弱性管理: SBOM は、使用されている依存関係やバージョンに関するインサイトを提供し、組織がソフトウェアの脆弱性を評価し管理するのを支援します。これにより、パッチ管理や脆弱性修正などの予防的なセキュリティ対策が可能になります。

  • コンプライアンスの保証: SBOM は、サードパーティコンポーネントの使用状況を文書化することで、ライセンス要件や規制の遵守をサポートします。これにより、組織は知的財産やライセンス違反に関連する法的問題を回避できます。

  • リスクの軽減: SBOM は、依存関係とそれに関連するリスクを特定することで、セキュリティ脆弱性やソフトウェアの欠陥がもたらす潜在的な影響を評価できるようにします。これにより、十分な情報に基づくリスク軽減戦略とリソースの優先順位付けが可能になります。

PBOM と SBOM の重要な違い

PBOM と SBOM はどちらもインベントリの役割を果たしますが、その範囲と焦点は異なっています。

  • スコープ: PBOM は、あるソフトウェアに対して行われたすべてのことをリアルタイムで文書化することに重点を置いているのに対し、SBOM は、すべてのソフトウェアコンポーネントと依存関係を特定することに重点を置いている

  • 目的: PBOM は効果的なアプリケーションセキュリティのリスクとポスチャ―の管理を実現し、SBOM はソフトウェアの透明性、セキュリティ、コンプライアンスを強化します

  • 対象者: PBOM と SBOM は、主に最高情報セキュリティ責任者(CISO)、セキュリティアナリスト、開発チームマネジャー、ソフトウェア開発者、IT 専門家によって使用されます

  • 影響: PBOMは、ソフトウェアのサプライチェーン全体の完全なセキュリティを向上させ、SBOMは、開発および配備におけるオープンソースコンポーネントの使用に影響を与えます

パイプライン部品表(PBOM)とソフトウェア部品表(SBOM)は共通の用語ではありますが、ソフトウェア開発、管理の異なる側面に対応しています。組織にとって、この違いを理解することは、開発プロセスを最適化し、ソフトウェア製品のセキュリティと完全性を強化しするために極めて重要です。

PBOMとSBOMを効果的に活用すると、企業は生産ワークフローを合理化し、リスクを軽減し、業界標準や規制へのコンプライアンスを確保することができます。例えばHCL AppScan Supply Chain Security などのソリューションは、組織が、ソフトウェア ランドスケープ全体でプロアクティブなセキュリティ ポスチャを維持できるようにする先駆的なアプローチである、アクティブ アプリケーションセキュリティ ポスチャ管理 (Active ASPM) のベネフィットを享受できるようにサポートします。

Active ASPMは、業界トップレベルのアプリケーションセキュリティ・テストを堅牢なポスチャ管理およびソフトウェアサプライチェーンセキュリティと統合します。この完全なパッケージで、すべてのリスク要因を完全に可視化し、記録的な速さで脆弱性をトリアージして修復できる詳細な評価ツールが提供されます。

ソフトウェアサプライチェーンのセキュリティや、安全なソフトウェア開発のためのその他の革新的なソリューションの詳細については、HCL AppScan をご覧ください。

Search

Categories

このブログについて

HCL Japan の Software 部門の複数担当者で HCL Software 全般について記しています。

Tags

Academy Accelerate Accelerator Actian Ambassador AoC AppDev Pack AppScan ASoC beta BigFix BigFix 9.5 BigFix_Wiki BigFix Workspace branding CAA Client Applicatin Access cloud Cloud Apps Cloud Native Commerce Common Local License Server community companion Compass compliance Connections Connections 6.5 ConnectionsDocs Connnections CVE-2021-44228 developerWorks DevOpes Velocity DevOps DevOps Code ClearCase DevOps Code RealTime DevOps Deploy DevOps.Launch.AppScan DevOps Model RealTim DevOps Plan DevOps Test DevOps Velocity Digital Experience Discover document Doino Volt Domino Domino AppDev Pacl Domino Leap Domino Volt Domino管理者アップデート認定試験対策 DQL DRYiCE dW dx Enterprise Integrator event fix fix_list fixlist forum General guide HCAA HCL Ambassador HCL Ambassadors HCL Domino REST API HCL OneTest Embedded HCL Z and I Emulator HCL Z and I Emulator for Transformation HCLSoftware U hints_and_tips history HTMO IBM_i iControl ID_Vault iNotes ios ios13 ipad iPhone IZSAM KEEP Launch Launch.DevOps Leap Link logo MarvelClient mobile mui nds2019 ndv12beta News Noets/Domino Nomad Nomad Mobile Nomad Web Notes Notes/Domino Notes/Domino 10 Notes/Domino 11 notes-domino-9-10-limited-supportability-as-of-202204 Notes/Domino V12 Notes/Domion Notes/Domno notescons Now on_premises OneDB OneTest OnTime osaka press_release relay REST RTist SafeLinx Sametime Sametime 11 SoFy support survey system_requirement techtek Total Experience Traveler Traveler 10 Traveler for Microsoft Outlook traveler.zip Unica Unica Discover Unica Interact UrbanCode Deploy UrbanCode Velocity v11 V12 Verse Verse Mobile Verse On-Premises VersionVault Volt Volt MX Volt MX Go Volt MX サンプルアプリ Webinar win7 Wordload Automation Workload Automation youtube Z Z Abend Investigator Z and I Emulator Z and I Emulator for Transformation Z and I Emulator for Web Z and I Emulator for Web Client Z Asset Optimizer Z Data Tools Z Software Asset Manager ZAI ZAO ZIE ZIE for Transformation ZIE for Web ZIE for Windows ZIET ZIETrans ZIEWeb うるう年 イベント ウェビナー ガイド クラウド クラウド終了 サイジング サポート サポート技術情報 サポート期間 サポート終了 セキュリティ セキュリティー セキュリティー脆弱性 セミナー ダイバーシティー ダウンロード テクてく テクてく Lotus 技術者夜会 ニュース ノーツコンソーシアム バージョンアップ パフォーマンス パートナー ベータ ポートフォリオ ライセンス 九州地区 Notes パートナー会 互換性 出荷日 各種ご案内資料 研修