近年、企業のセキュリティ対策において、ソフトウェアサプライチェーンのリスク管理が重要なテーマとなっています。情報処理推進機構（IPA）が2023年の発表した「情報セキュリティ10大脅威2023」では「サプライチェーンの弱点を悪用した攻撃」が前年の3位から2位に上昇しました。 このような大きな脅威となっているサプライチェーンの攻撃リスクへ対処するために注目されているのが「SBOM（エスボム）」です。SBOMとは製品に含むソフトウェアを構成するコンポーネントや互いの依存関係、ライセンスデータなどをリスト化した一覧です。これによりソフトウェアサプライチェーン攻撃を防ぐ対策として、またライセンス管理や脆弱性管理、コンポーネントを可視化して活用するのです。 今回の講演はソフトウェアサプライチェーンのリスク管理とSBOMの生成・利用について解説します。