セキュリティ

SECURITY

公開：2024-10-23

セキュリティ・トランスペアレンシー・コンソーシアムがSBOM活用知見を公表、脆弱性管理の課題解決に向けた取り組みを強化

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• セキュリティ・トランスペアレンシー・コンソーシアムがSBOMの活用知見を公表
• 可視化データを活用した脆弱性管理の課題解決策を提示
• サプライチェーンセキュリティリスクの低減に向けた取り組みを強化

セキュリティ・トランスペアレンシー・コンソーシアムによるSBOM活用知見の公表

セキュリティ・トランスペアレンシー・コンソーシアムは2024年10月21日、製品・システム・サービスの透明性を確保するSBOMなどの可視化データを利用する際の課題に対処するための知見をまとめた「セキュリティ透明性確保に向けた可視化データ活用～脆弱性管理編～」を公表した。可視化データを「つかう側」「つくる側」双方の多様な事業者が共創し、脆弱性管理活用に関する国内初の公表事例となっている。^[1]

可視化データには複数の標準仕様が存在しており、生成ツールの出力内容にバラつきが見られることから、脆弱性管理において正しい特定が困難となるリスクが存在している。このため可視化データの品質を正しく評価するための指標が示され、活用における具体的な知見が示されることとなった。

製品・サービス・システムのサプライチェーンは多段構成であることが多く、脆弱性が発生した場合には組織を越えた相互協力が必要となる状況が発生している。この状況に対応するため、サプライチェーン上の組織間での相互協力や合意形成に関する具体的な知見が提示されることとなった。

可視化データ活用における課題と対策まとめ

SBOMについて

SBOMとはSoftware Bill of Materialsの略称で、製品に含まれるソフトウェア部品を一覧化するためのデータ形式のことである。主な特徴として以下のような点が挙げられる。

• 製品・システムの構成要素を可視化
• 脆弱性管理の効率化を実現
• サプライチェーンセキュリティの透明性を確保

可視化データを活用した脆弱性管理においては、「つかう側」が直面する課題への対処が重要となっており、セキュリティ・トランスペアレンシー・コンソーシアムが公表した知見はその解決に大きく貢献する。SBOMの活用により、製品・システムの透明性が向上し、セキュリティリスクの低減につながることが期待されている。

参考サイト

1. ^ NTT. 「SBOMなどの可視化データ活用知見を共創「セキュリティ透明性確保に向けた可視化データ活用～脆弱性管理編～」をセキュリティ・トランスペアレンシー・コンソーシアムが公表～多様な事業者による共創を通じサプライチェーンセキュリティリスク対処能力を向上～ | ニュースリリース | NTT」. https://group.ntt/jp/newsrelease/2024/10/21/241021a.html, (参照 24-10-23).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧