国内におけるSBOMへの取り組み連携にむけて (OpenSourceSummit2023セッション)

こんにちは。NECの米嶋です。

2023年12月に開催されたOpenSourceSummit2023で「Introducing OpenChain Japan Community's SBOM Initiatives」と題した発表を行いました。(OpenChain Japan Working Group メンバー2名と共同発表)

当日のスライドとセッションの動画はイベントページで公開されています： Introducing OpenChain Japan Community's SBOM Initiatives

この記事ではセッションで発信したメッセージと、このセッション内で発信したNECのOSSに対する取り組み、これら2点を紹介したいと思います。

発表の目的

今回は日本国内のSBOMに対する取り組みの発信、そして、国内のコラボレーション強化の期待を発信するために登壇しました。

現在、国内の各所でSBOMに関する取り組みが行われています。我々はその一部として、経済産業省をはじめとする国内省庁におけるSBOM研究の状況、OpenChain JWGのSBOMに対する活動、そして国内企業のSBOMに関する取り組み状況を整理しました。そして、この三者(Government, Community, Industry/Companies)のさらなるコラボレーションを期待したいということを発信しました。

国内では各企業/組織では大なり小なりのSBOMに関する取り組みが行われている状況にあります。しかしサプライチェーンを巻き込んだSBOM対応の文化浸透には、個社対応では手が追いつかない側面があることでしょう。業界横断的で広い視点で連携を行うことが重要になっています。今後、我々を含む各組織同士が連携意識を持って、取り組みを行えることを期待したいということを発信させていただきました。

NECのOSS活用に対する取り組み

このセッションの中ではNECの取り組みの一部を紹介しました。

OSS活用に対する階層化ドキュメント

NECではOSS活用に対するドキュメント郡を情報セキュリティポリシーのピラミッドのように、3段の階層構造で定義しています。

Global Policyは“OSSに関するコンプライアンスの徹底“や“OSSプロジェクトに対する尊重“などの宣言を1枚にサマライズしたものです。このポリシーは経営トップや開発者以外の役割も含めた、全ての従業員に対して理解を要求するドキュメントに位置づけています。そして、このトップポリシーの遵守を徹底するために下層の文書が存在します。

GuidelineはOSSを活用するプロジェクトのミドル層(マネージャーを想定)をターゲットとしたドキュメントです。OSSライセンス違反、セキュリティ強化に向けたリスクマネジメントの方法を示したドキュメントになります。

そして、Procedures and Processesはより具体的なドキュメント郡であり、OSSを活用するプロジェクトのエンジニアに向けて提供されるものです。リスクアセスメントの手順やツール活用における手順、またOSSの利用に限らず、自社のソースコードをOSSとして公開する場面、あるいはOSSプロジェクトに対してコントリビュートを行う場面の検討事項も定義しています。より包括的な取り組みについては、こちらのページもご参照ください。

また、SBOMに関する取り組みとして、社内で活用するSBOMガイドラインの制定、およびe-ラーニングによるOSS・SBOM教育といった施策の紹介もしました。NECにおいてもSBOMに対する考え方の浸透は課題の一つです。組織内への浸透、理解も必要だという観点から、こういった社内で取り組んでいる施策の紹介もさせていただきました。

振り返ってみて

今回の発信が今後の国内組織における連携強化に、少しでも追い風になれば幸いです。今後もSBOMに関する連携や議論は継続されることなると思いますが、しっかり貢献していきます。また、社内における施策も紹介させていただきましたが、こちらも参考になれば幸いです。

最後に、今回の素晴らしいセッションを一緒に作り上げてくださった共同講演者のおふたり方、ありがとうございました。

執筆者

OSS貢献活動へ戻る