ソフトウェアに求められるセキュリティ対策

近年のソフトウェアについてはその用途、出荷先により様々な法規制が制定される傾向にあります。2021年5月には米国大統領令として「EO14028」が発令され、欧州でも2016年に導入されたネットワーク及び情報システム指令（NIS指令）が改正され、対象分野が広く拡大されたものがNIS2として2022年12月に欧州委員会において採択されました。NIS2と相互補完と位置付けられるEUサイバーレジリエンス法案についても草案が発表されています。今後も世界各国でサイバーセキュリティ対策として関連法規制が整備されることは想像に難くありません。

各法規制が求めることは詳細には異なりますが、製品のセキュリティ要件、脆弱性への対処、リスクの文書化など、サイバーセキュリティに対するリスクマネジメントを求められています。

これらの動向を鑑みて、市場では特に近年ソフトウェア開発において欠かせない要素であるOSSの脆弱性、ライセンス形態のチェック並びに情報をSPDX（もしくはSPDX-Lite）形式で出力できるような各種ソリューションが発表されています。

セキュリティ対策と製品構成管理

わたしたちは、大切なのはこれらの情報を「問題が発生した時、求められたときに速やかに対応できること」「継続的に改善できること」にあると考えます。認証時はもちろんのこと、更新時の製品構成、関連文書が明らかでなければ、これらの対応は重くのしかかってくる課題となりうるためです。

SOLVEUSは当初より「ソフトウェアを製品構成として管理する」ということの大切さに重きを置き、「ソフトウェア成果物管理をわかりやすく」をコンセプトの一つとして開発を進めてきました。

簡潔に確実にソースコード更新情報を反映するため

近年、ソフトウェア開発においては、多くの現場でソースコード管理ツールが用いられています。 製品構成の構築並びに更新時の情報反映にこのソースコードの更新情報を反映することが簡潔で確実な管理手法であると考え、ソースコード管理ツール（Git）からの情報抽出、および取込の機能開発に着手しました。

ソースファイルごとのハッシュ値や更新日などを取得し、新規で追加されたソースファイルは新規品目として、更新されたソースファイルは既存品目をバージョンアップし、情報を反映してSOLVEUSに登録します。

Git上のソースコード更新情報を品目情報として取り込むことで更新をスムーズに行い、管理情報と実データのアンマッチを防ぐことが可能と考えています。

右記のサイトで、開発中の機能についてご紹介しています。

※ 会員制情報サイト「DIPRO Product & Solution Gallery」は会員登録が必要となっています。お手数ですが、以下から会員登録をまずお願いします

DIPRO Product & Solution Gallery 会員仮登録

これからもお客様の期待に応えられるよう努めてまいりますので、お困り事などございましたら是非一度ご相談ください。

お問い合わせ先

※

SOLVEUS / ソルバスは、デジタルプロセス株式会社の登録商標です。

※

GitおよびGitロゴは、Gitプロジェクトの本社であるSoftware Freedom Conservancy, Inc.の米国およびその他の国における登録商標または商標です。

※

その他記載されている製品名などの固有名詞は、各社の商標または登録商標です。

※

記載されているシステム名、製品名等には、必ずしも商標表示（®、TM）を付記していません。