日本電信電話(NTT)および日本電気(NEC)を幹事事業者とする「セキュリティ・トランスペアレンシー・コンソーシアム」(以下、コンソーシアム)は、活動成果として「セキュリティ透明性確保に向けた可視化データ活用~脆弱性管理編~」を公表した。
同コンソーシアムは、多様な事業者で構成される14社が2月に公表した活動ビジョン「セキュリティ透明性の向上と活用に向けて」のもと、SBOMなどの可視化データを利用する際に「つかう側」が直面する問題・課題解決に取り組んでいるという。
今回の活動成果は、脆弱性管理に可視化データを活用する場合の具体例として、脆弱性の特定や優先付けなどに可視化データを「つかう側」が直面する問題・課題に対処するための知見を共創したもの。これは可視化データを「つかう側」「つくる側」双方の多様な事業者が共創し、従来「つくる側」に偏りがちだった可視化データ活用に「つかう側」の視点も取り入れた知見だとしている。
「セキュリティ透明性確保に向けた可視化データ活用~脆弱性管理編~」の概要
- フォーマット・データ:SBOMなどの可視化データは、複数の標準仕様が存在し、生成ツールの出力内容にバラつきが見られる。そのため、脆弱性管理において、対応すべき脆弱性を正しく特定できないリスクがあるという。対応すべき脆弱性を特定するためには、可視化データの品質を正しく評価する必要があり、可視化データの評価指標に関する知見を示す
- 技術・ツール:可視化データに対応する多様な技術・ツールが既に利用可能になっているが、脆弱性管理においては十分と言えない状況だとしている。可視化データを「つかう側」がうまく使いこなすための知見を示す
- 活用コスト:「つかう側」が脆弱性管理に可視化データを活用するためには、人材育成により可視化データの活用方法を理解することが急務となり、そのコスト負担が必要だという。「つかう側」が可視化データを理解し、脆弱性管理を活用するために必要な教育についての知見を示す
- 継続的な活用:脆弱性管理が可視化データ活用以前から行われていると、可視化データ活用導入を一度に完了できない場合がある。既存の脆弱性管理の仕組みに可視化データの活用を段階的に浸透させていくための知見を示す
- サプライチェーン上の調整:製品・サービス・システムのサプライチェーンは多段構成であることが多く、脆弱性が発生した場合には、個別企業などの単一組織内にとどまらず組織を越えた相互協力が必要だという。サプライチェーン上の組織間での相互協力や合意形成に関する知見を示す
- 可視化データがもたらす影響:可視化データの脆弱性管理における活用が浸透し、セキュリティの透明性が高まると大量の脆弱性が検出され、従来は対処の必要がなかった事象についても対処の判断を求められるケースが増加する。そのため、検出された脆弱性に対し適切に評価・優先付けを行うための指標を示す
同コンソーシアムは今後も、対象ユースケースや脆弱性管理に関わらず「セキュリティ透明性確保に向けた可視化データ活用」としてとりまとめ、2025年以降、順次公表する予定だという。また、同コンソーシアムの参加事業者も、引き続き募集しているとのことだ。
【関連記事】
・東芝デジタルソリューションズ、障害復旧能力を強化したGridDB新バージョンを提供
・タニウム、IT協会に加入 自律型エンドポイントマネジメントの有用性共有・研究に意欲
・「オールジャパン体制で挑む」 富士通ら9者、2025年度末までに偽情報対策プラットフォーム構築へ
