NRIセキュアテクノロジーズ(以下、NRIセキュア)は、「サプライチェーントラストサービス」のラインアップの1つとして、「SBOMに対応した脆弱性監視サービス」の提供を開始した。
SBOMとは、製品などのソフトウェアが使用するオープンソースソフトウェア(OSS)ライブラリなどのコンポーネント(ソフトウェア部品)やそれらの依存関係などの情報を含む一覧表。SBOMの導入によって製品などのソフトウェアが使用するコンポーネントを把握できるようになる一方、従来と比べ脆弱性の監視対象のコンポーネント数が増加し、脆弱性情報の収集にかかる負担が大きくなるという。また、脆弱性のトリアージや対応にはサイバーセキュリティの知見やスキルが求められるため、それらの運用をうまくまわせていないことが多くの企業の課題となっているとのことだ。
同サービスではそれらの課題を解決し、製造業をはじめとする企業の品質保証部門やPSIRTなどによる、経済産業省が2024年8月29日に公表した「ソフトウェア管理に向けたSBOMの導入に関する手引ver 2.0」(以下、手引書の改訂版)に沿ったSBOMを活用した脆弱性管理プロセスの実施を支援するという。製品などのソフトウェアのSBOMをもとに、NRIセキュアが脆弱性の監視・トリアージを行い、検出された脆弱性情報およびそれらのトリアージ結果を含むレポートを提供するとしている。
![SBOMに対応した脆弱性監視サービスの概要図[画像クリックで拡大]](http://ez-cdn.shoeisha.jp/static/images/article/21092/21092_1.png)
SBOMに対応した脆弱性監視サービスの概要図
[画像クリックで拡大]
同サービスの主な特徴は次のとおり。
①幅広い種類の脆弱性情報の収集
脆弱性の監視(手引書の改訂版における脆弱性管理プロセスの脆弱性特定フェーズ)の支援では、NVDやJVNをはじめとする脆弱性情報データベースの他、悪用が確認された脆弱性(KEV)のカタログ、コンポーネントのEOL(End of Life)情報などの脆弱性情報を幅広く収集。これにより、厚生労働省の「医療機器のサイバーセキュリティ導入に関する手引書(第2版)」などが求める脆弱性情報の収集を実施できるようになるという。
②最新の手法による効率的な脆弱性のトリアージ
脆弱性のトリアージ(手引書の改訂版における脆弱性管理プロセスの脆弱性対応優先付けフェーズ)の支援では、CVSS(共通脆弱性評価システム)のスコアに加え、脆弱性が悪用される可能性を示す指標であるEPSSのスコア、脆弱性の悪用やPoCコードの有無を組み合わせた優先度に基づきトリアージを行うとしている。また、製造業をはじめとする企業向けにサプライヤーの決定木に対応した優先度づけを行うSSVCによるトリアージも行うという。
加えて、SBOMに含まれる依存関係の情報をもとに、脆弱性情報が検出されたコンポーネントとそれを使用するトップレベルの依存関係にあるコンポーネントを出力することで、対応すべき対象のコンポーネントを効率的に絞り込めるとしている。
③製品のソフトウェアのバージョンを横断した脆弱性の監視・トリアージ
製品のソフトウェアは出荷先の要望や規制などの事情により、仕様や機能が異なる複数のバージョンがリリースされる場合があるという。そのため、市場にリリースされているすべてのバージョンを対象に脆弱性管理を実施しなければならないと同社は述べる。同サービスでは、複数のバージョンを横断した脆弱性の監視・トリアージを行うことで、製品のリリース後に新たに発生する脆弱性の影響を受ける可能性があるソフトウェアのバージョンを把握できるとのことだ。
【関連記事】
・SHIFT「EUサイバーレジリエンス法対応体制構築支援サービス」提供 SCA/SBOMツール導入・運用を支援
・ソフトウェア依存関係が複雑化、2024年はサプライチェーンの脆弱性増大が深刻に──yamory調べ
・富士通、脆弱性への攻撃や新たな脅威を事前対策 マルチAIエージェントセキュリティ技術を開発
