SBOMを脆弱性管理に活用する資料–NTTなど14社参加のコンソーシアムが公表

今回は「SBOMを脆弱性管理に活用する資料–NTTなど14社参加のコンソーシアムが公表」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 NTTなどが参加するセキュリティ・トランスペアレンシー・コンソーシアムは10月21日、ソフトウェア部品表(SBOM)による可視化データを脆弱(ぜいじゃく)性管理に活用するための資料「セキュリティ透明性確保に向けた可視化データ活用~脆弱性管理編~」をウェブサイトで公表した。

 同コンソーシアムは、サプライチェーンセキュリティの推進を目的に活動しており、2024年2月には通信やITの10社が、活動ビジョンを発表。製品やシステム、サービスなどを「つくる側(開発や構築、提供)」が作成・提供したSBOMなどの可視化データを利用する際に直面する問題について、「つかう側(ユーザー)」からとりまとめ、その問題解決に取り組むとしていた。

 今回公表された資料は、SBOMなどの可視化データを脆弱性管理に活用する上で、「つくる側」と「つかう側」の双方の視点を取り入れた国内初のドキュメントになるという。SBOMについては、8月に経済産業省が「ソフトウェア管理に向けたSBOMの導入に関する手引 ver2.0」を公開するなど、SBOMの導入と活用に向けた環境整備が進みつつある。

 公開資料の構成と概要は下記の通り。

フォーマット・データ

SBOMなどの可視化データは、複数の標準仕様が存在し、生成ツールの出力内容にバラつきが見られる。そのため、脆弱性管理において、対応すべき脆弱性を正しく特定できないリスクがある。対応すべき脆弱性を特定するためには、可視化データの品質を正しく評価する必要があり、可視化データの評価指標に関する知見を示す。

技術・ツール

可視化データに対応する多様な技術、ツールが既に利用可能になっているが、脆弱性管理においては十分といえない状況がある。可視化データを「つかう側」がうまく使いこなすための知見を示す。

活用コスト

「つかう側」が脆弱性管理に可視化データを活用するためには、人材育成により、可視化データの活用方法を理解することが急務となり、そのコスト負担が必要となる。「つかう側」が可視化データを理解し、脆弱性管理を活用するために必要な教育についての知見を示す。

継続的な活用

脆弱性管理が可視化データ活用以前から行われていると、可視化データ活用導入を一度に完了できない場合がある。既存の脆弱性管理の仕組みに可視化データの活用を段階的に浸透させていくための知見を示す。

サプライチェーン上の調整

製品・サービス・システムのサプライチェーンは多段構成であることが多く、脆弱性が発生した場合には、個別企業などの単一組織内にとどまらず、組織を越えた相互協力が必要となる。サプライチェーン上の組織間での相互協力や合意形成に関する知見を示す。

可視化データがもたらす影響

可視化データの脆弱性管理における活用が浸透し、セキュリティの透明性が高まると大量の脆弱性が検出され、従来は対処の必要がなかった事象についても、対処の判断を求められるケースが増加する。そのため検出された脆弱性に対し、適切に評価、優先付けを行うための指標を示す。

 同コンソーシアムは、「引き続き多様な事業者の協調的な取り組みにより、可視化データ活用における問題、課題の対処策を共創していく。対象ユースケースも脆弱性管理にこだわらず、セキュリティの透明性確保に向けた可視化データ活用としてとりまとめ、2025年以降、順次公表していく予定だ」とコメント。資料を作成したワーキンググループのメンバーは、NTT、NEC、アラクサラネットワークス、NRIセキュアテクノロジーズ、NTC、NTTデータグループ、ジークス、ラック、Contrast Security、Covalent、サイバートラスト、東京エレクトロン、三井住友トラストグループ、三菱電機の14社となる。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
VRイベント「バーチャルマーケット」のHIKKYがシリーズA調達を70億円で完了、メディアドゥと提携し「メタバースと読書」追求
IT関連
2022-02-09 04:50
日立の知財責任者が語った「知財戦略における発想の転換」とは
IT関連
2022-12-17 09:43
Apple、エディー・キュー上級副社長の担当部門名をServicesに変更
企業・業界動向
2021-08-18 09:33
「ドラクエ3」リメイク決定 順番を3→1→2にして「驚き」を
くらテク
2021-05-28 01:49
中部電力と中電シーティーアイ、ServiceNowのITサービス管理・資産管理製品を導入
IT関連
2024-01-27 19:51
慶應義塾、「Salesforce EDA」で学生ポータルサイトを刷新–フレクトが開発を支援
IT関連
2024-11-21 09:32
リクルート、最大10万IDが利用可能な次期汎用ワークフロー基盤を構築
IT関連
2022-09-30 16:45
Fastlyが大規模障害の経緯を公開、原因はソフトウェアのバグ。障害を1分以内に検知し、49分でおおむね復旧させたと報告
Fastly
2021-06-10 13:04
オラクル、ローコードの人事フロー機能「Oracle Journeys」を発表
IT関連
2021-04-15 18:30
出前館がシステム基盤刷新–トランザクション処理性能を2倍以上に強化
IT関連
2023-03-24 23:22
Shopifyは多くの富を生み出し、元従業員を創業者や投資家にする
ネットサービス
2021-05-25 00:19
安全な認証手段が増えてきた今でも主流は「パスワード」
IT関連
2022-11-05 13:57
KeyHolder、「アーティスト別」「ツアー別」など複数軸の分析で収益性を改善へ
IT関連
2023-04-27 12:34
DuckDuckGo、メールの広告トラッカーを排除する「Email Protection」サービス受付開始
アプリ・Web
2021-07-22 16:40