ソフトウェア部品表ワークスペースでライセンスを分類してコンポーネントのライセンスを決定する

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:5分

    • ライセンスを分類して、コンポーネントのライセンスを解決 (コンポーネントとライセンスを適合) する、または SBOM ワークスペースのライセンス管理モジュールでライセンスを作成します。ライセンスを分類してコンポーネントと照合することで、SBOM ファイルにアップロードする所有権、オープンソース、ベンダー提供のソフトウェアコンポーネントのライセンスコンプライアンスを判断できるようになります。

    ライセンスデータとサードパーティソフトウェア

    多くの組織において独自のソフトウェアアプリケーションを構築する傾向が高まり、オープンソースのコンポーネントやベンダー提供のソフトウェアが使用されています。サードパーティやオープンソースのコンポーネントを使用することで、ソフトウェアプロジェクトの作成やリリースが迅速化し多くのメリットが得られますが、そこにはライセンス供与のリスクも伴います。

    • オープンソースやベンダー提供のソフトウェアコンポーネントは、他のコンポーネントに依存していることが少なくなく、コンポーネントごとに独自のライセンス要件がある場合があります。
    • アプリケーションのコンポーネントやソフトウェアにおいては、ライセンス条件に準拠していないと、内部ポリシーや法的なライセンス要件に反したコードを誤って出荷してしまうおそれがあります。

    ライセンス管理モジュール

    SBOM ワークスペースのライセンス管理モジュールでは、次のタスクを実行できます。
    • SBOM ファイルと併せてアップロードするコンポーネントに対して必要なライセンスを分類する。
    • 特定のコンポーネントに分類するそれぞれのライセンスを解決する。
    • ホームページのデータ可視化に関するコンプライアンスにおいて、使用しているコンポーネントにどの程度違反があるかを確認する。この情報から、全体的なセキュリティ体制や潜在的なリスクエクスポージャーを判断できます。
    アップロードする SBOM ファイルにライセンス情報が含まれている場合、SBOM のアップロードごとに一意のライセンスが存在するため、ライセンスデータベースが自動的に拡張されます。SBOM をアップロードするたびに、アップロードされたライセンスのデータベースを構築し、必要に応じて SBOM ワークスペースのライセンス管理モジュールでこれらのライセンスを分類することができます。ライセンスのインベントリを作成しておくと、次のいずれかのカテゴリに分類してから、コンポーネントにアサインすることができます。
    • 許可
    • 制限付き
    • 禁止
    • 未分類

    ライセンス管理モジュールでタスクを実行できるのは、法務担当者、ライセンス管理者、コンプライアンス、規制管理者です。

    アップロードされたライセンスデータの表示

    コンポーネントと併せてアップロードしたライセンス情報を SBOM ワークスペースに表示するには、次のオプションを使用します。
    • 移動先 ワークスペース > SBOM ワークスペース > コンポーネント.
      [コンポーネント] ページでは、[コンポーネントのライセンス分類] カードで全体的なライセンスコンプライアンスが確認できるようになっています。使用されるカテゴリは次のとおりです。
      カテゴリ 説明
      禁止 ライセンスの使用が許可されていません。
      分類が必要 ライセンスが未分類であり、確認が必要です。
      許可 ライセンスの使用が許可されています (制限なし)。
      制限付き 特定のユースケースでライセンスの使用が許可されていません。

      このスナップショットでは、ライセンス管理モジュールに入力した分類と解決済みのライセンス情報に基づき、全体的なライセンスコンプライアンスを計算します。

      このリストでコンポーネントレコードを選択すると、コンポーネントのライセンス情報と他の情報が [ステータス] フィールドに表示されます。

    • または、 ワークスペース > SBOM ワークスペース > ライセンス管理 > ライセンスの分類.
      このページでは、アップロードした SBOM ファイルから検出された一意のライセンスの合計数を追跡します。ページ上部の次のカテゴリのカードでフィルタリングすることもできます。
      • 未分類:ライセンスのレビューと分類が必要。
      • 禁止:ライセンスの使用が許可されていない。
      • 制限付き:特定のユースケースでライセンスが許可されていない。
      • 許可:ライセンスの使用が許可されている(制限なし)。
      • すべてのライセンス:ライセンスの合計数。
      組織内のすべてのコンポーネントに対しては、このページのリストのいずれかのライセンスが使用されています。SBOM のアップロード時に新たなライセンスが検出されると、レコードが作成されて、SBOM ライセンスの [sn_sbom_license] テーブルに保存され、このリストに追加されます。デフォルトでは、分類が [分類が必要 (Classification Required)] となります。ライセンスコンプライアンスの総合的な判断が正確に行われるように、ステータスのライセンスレコードをレビューし分類したうえでコンポーネントのライセンスを決定 (コンポーネントとライセンスを適合)する必要があります。

      ライセンスの分類方法に関する詳細は「 ソフトウェア部品表 ワークスペースにインポートされたライセンスを分類する」を参照してください。

    ロール

    新しいライセンスの分類は、sn_sbom_response.managelicense ロールのユーザーが行う必要があります。このユーザーが、アップロードされたライセンス情報を確認し、ライセンスの許可および禁止を決定することができます。このロールのユーザーがコンポーネントライセンス決定モジュールを表示するには、 sn_sbom_response.licenseresolver のロールを持っている必要があります。

    全体のライセンスコンプライアンスを判断するには、分類後に sn_sbom_response.licenseresolver ロールのユーザーがライセンスを解決する必要があります。このユーザーによってコンポーネントのライセンスが解決されます。このロールのユーザーがライセンス分類モジュールを表示するには、 sn_sbom_response.managelicense のロールを持っている必要があります。

    新しいライセンス情報の分類は継続的なプロセスとなります。[未分類] カードに表示される合計数が大きくならないようにしておきましょう。ライセンス管理者は、数日おきに、または SBOM ファイルのアップロード後に、分類が必要なライセンスを確認するようにしておきましょう。

    ライセンスの解決担当者は、更新された分類済みライセンスを数日おきに確認するようにしておきましょう。