NIST SP800-171 への対応を SBOM 生成可能な脆弱性管理ツールで実現
事例企業: 株式会社 岡山トヨタシステムサービス
導入前の課題
長年の主要取引先である日本電気株式会社(以下、NEC)の取引基準として、米国のセキュリティ対策ガイドライン「NIST SP800-171」への対応がサプライチェーンにも求められたことを背景に、アプリケーションの定期的な脆弱性検査や脆弱性の特定ができる仕組みを模索していた。
具体的には納品したシステムで利用しているモジュールのバージョンなどの構成管理や、脆弱性が見つかった場合に迅速な対応ができるよう、コンポーネント一覧を生成できる手段を探していた。
導入の目的・解決手段
ソフトウェアの部品表である SBOM を作成すれば、その構成表から脆弱性が発見された際に該当するソフトウェアがあるか特定できると考え、SBOM ツールを複数比較検討した。
岡山トヨタシステムサービスでは、オンプレ環境でミドルウェアも含め自社で構築しているため、検討したサービスではすべてのモジュール構成が拾い上げられなかった。唯一、OS からミドルウェア、アプリケーションまでの構成要素を SBOM として生成できたのが MIRACLE Vul Hammer だったことから、導入を決定した。
導入効果
受託開発したシステムの納品前に一度 SBOM を生成すれば脆弱性を収集してくれることと、脆弱性が発見された際には MIRACLE Vul Hammer の管理画面で表示されるほかメールでも通知されるので、運用が楽なことを評価している。
サーバーを構築する必要もなく、ブラウザで完結できるので手軽に導入できた。UI が分かりやすいため、シンプルで使いやすく、今後利用者が増えたとしても手順書作成や説明の負荷も抑えられる。
岡山トヨタシステムサービスは、1975 年の設立以来、お客様のシステム開発を主軸に先進的なサービスを展開し、2025 年に 50 周年を迎えました。もともと日本電気株式会社(以下、NEC)の受託開発にはじまり、地域を代表する大手企業や県内の中小企業を中心にシステム販売も行っています。自動車業界でも DX やさまざまな効率化が進む中で、車の修理工場の工程管理作業を効率化する製品として「CaPro(キャプロ)」を独自開発し、全国に展開しています。
事業の中核となっている NEC 向けの受託開発で SBOM 生成のニーズがあり、MIRACLE Vul Hammer を導入しました。
サプライチェーンに求められる、NIST SP800-171 への対応がきっかけに
「当社は、今年 2025 年に 50 周年を迎えた、岡山を中心にシステム開発やサービスを展開する独立系の IT ベンダーです。社名にトヨタと入っていますが、もともと NEC さんの販売代理店の縁もあって、NEC さんからの受託開発や地元を代表する企業の開発業務などが中核事業になっています。DX におけるセキュリティなどさまざまな IT の引き合いが増えていまして、お客様の課題やお困りごとを伺った上で、最適なソリューションや商材をご提案しています」と代表取締役 専務執行役員 ソリューション事業部長の小川 邦之氏が同社の事業について説明します。
「MIRACLE Vul Hammer を採用した経緯としては、NEC さんが米国のセキュリティガイドライン ”NIST SP800-171” に対応することになり、サプライチェーンにも取引基準として対応の要請があったことがきっかけです」と小川氏は振り返ります。
代表取締役 専務執行役員 ソリューション事業部長 小川 邦之氏
システムを構成するアプリケーションやモジュールのコンポーネント一覧として SBOM を選択
小川氏は具体的に求められていた内容について次のように続けます。「2025 年度から適用開始になっている ”NIST SP800₋171” の中に、アプリケーションの脆弱性を定期的にスキャンして、脆弱性が特定できることと、発見された脆弱性に対処できるような仕組みを設けることが求められています。具体的には、当社がNECさんから受託開発して納品するシステムではどんなアプリケーションやモジュールを使っているのか、そのモジュールはどのバージョンを使っているのかなど構成管理を作成して、もし脆弱性が見つかった場合にそのモジュールを入れ替える必要や、パッチを当てる必要など、すぐに対応できる仕組みを設ける必要がありました。そこで考えたのがコンポーネント一覧の作成でした。調べた結果、SBOM というソフトウェア部品構成表を作っておけば、その構成表をもとに脆弱性への対処ができると思い、SBOM 生成できるツールを探しました」
OS・ミドルウェア、すべての構成要素を SBOM にできる点を評価
取締役 執行役員 総務部長 今井 英行氏
NEC社での取引基準に ”NIST SP800-171” 対応が取り入れられてから、適した SBOM 生成ツールを 1 年以上探したと、小川氏と取締役 執行役員 総務部長の今井 英行氏は話します。
「経産省の Web サイトに公開された SBOM ツールなど、はじめは無償ツールを探しましたが、ライブラリのライセンス形態や脆弱性があるかの確認はできても、当社が求めるソフトウェア部品構成の作成はできませんでした。一方有償の SBOM 生成サービスを検討した結果、ハイスペックで価格が見合いませんでした」と小川氏。
「検討した SBOM 生成ツールでは、オンプレ環境で構築しているミドルウェアなど、すべてのモジュール構成が拾い上げられませんでした。OS からミドルウェア、アプリケーションまですべての構成要素を拾い上げることが唯一できたのが MIRACLE Vul Hammer でした」と比較検討の際のポイントを語ります。
トライアルでシンプルな使いやすさを評価し、採用を決定
岡山トヨタシステムサービスでは、MIRACLE Vul Hammer の試用版を 3 か月評価したうえで採用を決定し、利用を継続しました。「サーバーを立てなくていいのが楽ですね。ブラウザで一元管理できることも評価しました」小川氏が採用決定時のことを振り返ります。ソリューション事業部の三浦 脩平氏もトライアルから利用した感触を次のように評価しています。「MIRACLE Vul Hammer の良かったところは、プログラム常駐型ではないところですね。納品前に SBOM を生成すればサーバーを起動させておく必要もないですし、当社のニーズとマッチしたと思います。また、当社はサービス導入にあたって手順書の作成が必須なのですが、MIRACLE Vul Hammer はログインして触れば誰でも分かるくらいシンプルで、手順書に何を書けば良いかというくらいUIも分かりやすくて助かっています」
「構成を一度作っておけば、脆弱性が見つかった場合に管理画面での表示とメールでも通知されるので、MIRACLE Vul Hammer にお任せできて本当に楽ですね」と小川氏も続けます。
ソリューション事業部 三浦 脩平氏
通信・医療・自動車業界で見込まれる SBOM の活用
先進的に SBOM の活用を進める岡山トヨタシステムサービス。小川氏は今後 SBOM の活用が見込まれる業界について語ります。「昨今、自動車業界が結構 SBOM を重要視していると感じています。トヨタ自動車さんも今後自社に導入するソフトウェアについては SBOM を必須にするようなことを聞いています。通信や医療業界も同様の流れになると思っています。やはりインフラに近いシステムでは、これから SBOM の利用が増えていくのではと考えています」
今後もセキュリティへの取り組みに注力
岡山トヨタシステムサービスのように、開発後にソフトウェア管理表を作って、脆弱性を定期的にスキャンする IT ベンダーのニーズは今後増えることが予想されます。
「セキュリティについては、すべての企業に共通の課題で、どこまで費用をかけて行うかが永遠のテーマだと思います。取引先のニーズや市場動向などを踏まえて、当社もできることを提供していきたいので、脆弱性管理やさまざまな情報を共有いただきたい」と小川氏は締めくくりました。
導入企業様のご紹介
1975 年の創業から 50 周年を迎えた独立系 IT ベンダーです。日本電気株式会社の販売代理店としてさまざまな課題解決のほか、民間企業から自治体や警察など、基幹業務を中心とした受託開発や運用保守を提供しています。車の修理工場の工程管理で作業工程を効率化する DX 商材「CaPro」を自社開発し、全国に向けて展開しています。
https://www.ot-ss.com/この事例の製品・サービスのウェブサイト
この事例に関連のある他の事例
某製造業
某通信事業者
SBテクノロジー株式会社
すべての事例を参照
