バイナリファイルからSBOMを作成するサービス、ユビキタスAIが開始

　ユビキタスAIの「SBOM作成サービス」は、コンピューター上で動作するバイナリファイルからSBOM（Software Bill of Materials：ソフトウェア部品構成表）を作成するサービス（図1）。手元にソースコードがなくても、ソフトウェアの構成要素を可視化することで、セキュリティリスクの把握や、ソフトウェアライセンスにおけるコンプライアンスの遵守などに役立てる。

図1：ユビキタスAIが開始する「SBOM作成サービス」の流れ

　SBOM作成サービスが対応するSBOMフォーマットは、CycloneDX、SPDX、VEX、PDFの4つ。複数のファイルをまとめたzip形式や、組み込み機器向けの「Intel HEX」などROM（Read Only Memory：読み取り専用）イメージファイルなどからもSBOMを作成できる。

　政府は、ソフトウェア開発におけるSBOMの利用を推進している。自社開発のソフトウェアだけでなく、外部調達した商用ライブラリに対しても、脆弱性やライセンス違反などへのリスク対策が求められている。オープンソースソフトウェア（OSS）の利用増に伴い、ソフトウェア部品の脆弱性を悪用したサイバー攻撃が増えていることが背景にある。

　だが、従来のソースコード解析による手法では、依存関係などの特定が困難な場合があった。またSBOMを作成・管理するための人手不足や、解析ツールの購入コストが負担にもなっているという。

　SBOM作成サービスの料金は見積もり制で、バイナリファイルのサイズや数、解析内容などによって変動する。バイナリファイルを受け取ってから5～10営業日でSBOMを提供する。