SBOMを脆弱性管理に活用する資料–NTTなど14社参加のコンソーシアムが公表

今回は「SBOMを脆弱性管理に活用する資料–NTTなど14社参加のコンソーシアムが公表」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　NTTなどが参加するセキュリティ・トランスペアレンシー・コンソーシアムは10月21日、ソフトウェア部品表（SBOM）による可視化データを脆弱（ぜいじゃく）性管理に活用するための資料「セキュリティ透明性確保に向けた可視化データ活用～脆弱性管理編～」をウェブサイトで公表した。

　同コンソーシアムは、サプライチェーンセキュリティの推進を目的に活動しており、2024年2月には通信やITの10社が、活動ビジョンを発表。製品やシステム、サービスなどを「つくる側（開発や構築、提供）」が作成・提供したSBOMなどの可視化データを利用する際に直面する問題について、「つかう側（ユーザー）」からとりまとめ、その問題解決に取り組むとしていた。

　今回公表された資料は、SBOMなどの可視化データを脆弱性管理に活用する上で、「つくる側」と「つかう側」の双方の視点を取り入れた国内初のドキュメントになるという。SBOMについては、8月に経済産業省が「ソフトウェア管理に向けたSBOMの導入に関する手引 ver2.0」を公開するなど、SBOMの導入と活用に向けた環境整備が進みつつある。

　公開資料の構成と概要は下記の通り。

フォーマット・データ

SBOMなどの可視化データは、複数の標準仕様が存在し、生成ツールの出力内容にバラつきが見られる。そのため、脆弱性管理において、対応すべき脆弱性を正しく特定できないリスクがある。対応すべき脆弱性を特定するためには、可視化データの品質を正しく評価する必要があり、可視化データの評価指標に関する知見を示す。

技術・ツール

可視化データに対応する多様な技術、ツールが既に利用可能になっているが、脆弱性管理においては十分といえない状況がある。可視化データを「つかう側」がうまく使いこなすための知見を示す。

活用コスト

「つかう側」が脆弱性管理に可視化データを活用するためには、人材育成により、可視化データの活用方法を理解することが急務となり、そのコスト負担が必要となる。「つかう側」が可視化データを理解し、脆弱性管理を活用するために必要な教育についての知見を示す。

継続的な活用

脆弱性管理が可視化データ活用以前から行われていると、可視化データ活用導入を一度に完了できない場合がある。既存の脆弱性管理の仕組みに可視化データの活用を段階的に浸透させていくための知見を示す。

サプライチェーン上の調整

製品・サービス・システムのサプライチェーンは多段構成であることが多く、脆弱性が発生した場合には、個別企業などの単一組織内にとどまらず、組織を越えた相互協力が必要となる。サプライチェーン上の組織間での相互協力や合意形成に関する知見を示す。

可視化データがもたらす影響

可視化データの脆弱性管理における活用が浸透し、セキュリティの透明性が高まると大量の脆弱性が検出され、従来は対処の必要がなかった事象についても、対処の判断を求められるケースが増加する。そのため検出された脆弱性に対し、適切に評価、優先付けを行うための指標を示す。

　同コンソーシアムは、「引き続き多様な事業者の協調的な取り組みにより、可視化データ活用における問題、課題の対処策を共創していく。対象ユースケースも脆弱性管理にこだわらず、セキュリティの透明性確保に向けた可視化データ活用としてとりまとめ、2025年以降、順次公表していく予定だ」とコメント。資料を作成したワーキンググループのメンバーは、NTT、NEC、アラクサラネットワークス、NRIセキュアテクノロジーズ、NTC、NTTデータグループ、ジークス、ラック、Contrast Security、Covalent、サイバートラスト、東京エレクトロン、三井住友トラストグループ、三菱電機の14社となる。