NTTなどが参加するセキュリティ・トランスペアレンシー・コンソーシアムは10月21日、ソフトウェア部品表(SBOM)による可視化データを脆弱(ぜいじゃく)性管理に活用するための資料「セキュリティ透明性確保に向けた可視化データ活用~脆弱性管理編~」をウェブサイトで公表した。
同コンソーシアムは、サプライチェーンセキュリティの推進を目的に活動しており、2024年2月には通信やITの10社が、活動ビジョンを発表。製品やシステム、サービスなどを「つくる側(開発や構築、提供)」が作成・提供したSBOMなどの可視化データを利用する際に直面する問題について、「つかう側(ユーザー)」からとりまとめ、その問題解決に取り組むとしていた。
今回公表された資料は、SBOMなどの可視化データを脆弱性管理に活用する上で、「つくる側」と「つかう側」の双方の視点を取り入れた国内初のドキュメントになるという。SBOMについては、8月に経済産業省が「ソフトウェア管理に向けたSBOMの導入に関する手引 ver2.0」を公開するなど、SBOMの導入と活用に向けた環境整備が進みつつある。
公開資料の構成と概要は下記の通り。
フォーマット・データ
SBOMなどの可視化データは、複数の標準仕様が存在し、生成ツールの出力内容にバラつきが見られる。そのため、脆弱性管理において、対応すべき脆弱性を正しく特定できないリスクがある。対応すべき脆弱性を特定するためには、可視化データの品質を正しく評価する必要があり、可視化データの評価指標に関する知見を示す。
技術・ツール
可視化データに対応する多様な技術、ツールが既に利用可能になっているが、脆弱性管理においては十分といえない状況がある。可視化データを「つかう側」がうまく使いこなすための知見を示す。
活用コスト
「つかう側」が脆弱性管理に可視化データを活用するためには、人材育成により、可視化データの活用方法を理解することが急務となり、そのコスト負担が必要となる。「つかう側」が可視化データを理解し、脆弱性管理を活用するために必要な教育についての知見を示す。
継続的な活用
脆弱性管理が可視化データ活用以前から行われていると、可視化データ活用導入を一度に完了できない場合がある。既存の脆弱性管理の仕組みに可視化データの活用を段階的に浸透させていくための知見を示す。
サプライチェーン上の調整
製品・サービス・システムのサプライチェーンは多段構成であることが多く、脆弱性が発生した場合には、個別企業などの単一組織内にとどまらず、組織を越えた相互協力が必要となる。サプライチェーン上の組織間での相互協力や合意形成に関する知見を示す。
可視化データがもたらす影響
可視化データの脆弱性管理における活用が浸透し、セキュリティの透明性が高まると大量の脆弱性が検出され、従来は対処の必要がなかった事象についても、対処の判断を求められるケースが増加する。そのため検出された脆弱性に対し、適切に評価、優先付けを行うための指標を示す。
同コンソーシアムは、「引き続き多様な事業者の協調的な取り組みにより、可視化データ活用における問題、課題の対処策を共創していく。対象ユースケースも脆弱性管理にこだわらず、セキュリティの透明性確保に向けた可視化データ活用としてとりまとめ、2025年以降、順次公表していく予定だ」とコメント。資料を作成したワーキンググループのメンバーは、NTT、NEC、アラクサラネットワークス、NRIセキュアテクノロジーズ、NTC、NTTデータグループ、ジークス、ラック、Contrast Security、Covalent、サイバートラスト、東京エレクトロン、三井住友トラストグループ、三菱電機の14社となる。
