セキュリティ・トランスペアレンシー・コンソーシアムがSBOMなどの可視化データ活用知見を公表、脆弱性管理の効率化に期待

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

セキュリティ・トランスペアレンシー・コンソーシアムは脆弱性管理における可視化データ活用の知見を2024年10月21日に公表した。日本電信電話株式会社および日本電気株式会社を主査とする14社が参加し、可視化データを利用する際の問題・課題解決に向けた取り組みを実施している。^[1]

可視化データを「つかう側」が直面する問題・課題に対処するため、脆弱性の特定や優先付けなどに関する具体的な知見を創出することに成功した。従来の「つくる側」に偏りがちだった可視化データ活用に「つかう側」の視点を取り入れた国内初の事例となっている。

経済産業省は2024年8月29日に「ソフトウェア管理に向けたSBOMの導入に関する手引ver2.0」を公表し、SBOMの導入促進を推進している。医療業界や自動車業界を中心とした活用が進められており、今後も様々なユースケースでの展開が期待されている。

SBOMとは「Software Bill of Materials」の略称で、製品に含まれるソフトウェア部品を一覧化するためのデータ形式のことを指す。主な特徴として、以下のような点が挙げられる。

SBOMは製品・システム・サービスのサプライチェーンセキュリティリスクに対処するための重要なツールとして注目を集めている。経済産業省による導入促進の取り組みや、医療業界・自動車業界での活用事例が増加しており、今後さらなる普及が見込まれている。

セキュリティ・トランスペアレンシー・コンソーシアムが公表した可視化データ活用の知見は、サプライチェーンセキュリティの強化に大きく貢献する可能性を秘めている。特に「つかう側」の視点を取り入れた国内初の事例として、様々な業界での活用促進が期待できるだろう。

一方で、可視化データの標準化や組織間での合意形成など、解決すべき課題も多く存在している。特にサプライチェーンが多段構成となっている場合、組織を越えた相互協力体制の構築が必要不可欠であり、その実現に向けた具体的な方策の検討が求められる。

今後は医療業界や自動車業界以外でも、可視化データを活用した脆弱性管理の取り組みが広がることが予想される。コンソーシアムによる継続的な知見の共有と、参加企業の拡大によって、より実効性の高い対策が確立されることを期待したい。

^ PR TIMES. 「SBOMなどの可視化データ活用知見を共創「セキュリティ透明性確保に向けた可視化データ活用～脆弱性管理編～」をセキュリティ・トランスペアレンシー・コンソーシアムが公表 | 日本電気株式会社のプレスリリース」. https://prtimes.jp/main/html/rd/p/000000728.000078149.html, (参照 24-10-23).
経済産業省. https://www.meti.go.jp/index.html

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。