セキュリティ・トランスペアレンシー・コンソーシアム、SBOMなどの活用知見をまとめた「セキュリティ透明性確保に向けた可視化データ活用～脆弱性管理編～」を公表

　サプライチェーンセキュリティリスクの低減を目的とするセキュリティ・トランスペアレンシー・コンソーシアムは21日、製品・システム・サービスの透明性を確保するSBOM（Software Bill of Materials）などの可視化データを利用する際に、「つかう側」が直面する問題・課題に対処するための知見をまとめた「セキュリティ透明性確保に向けた可視化データ活用～脆弱性管理編～」を公表した。

　同コンソーシアムのワーキンググループでは、日本電信電話株式会社（以下、NTT）や日本電気株式会社（以下、NEC）など参加事業者14社が、2024年2月に公表した活動ビジョン「セキュリティ透明性の向上と活用に向けて」のもと、SBOMなどの可視化データを利用する際に、「つかう側」が直面する問題・課題解決に取り組んでいる。

　コンソーシアムでは、活動ビジョンで提起した問題・課題について、可視化データの活用が最も期待されているユースケースの一つである、脆弱性管理を対象とした具現化を行い、対処するための知見を共創し、活動成果を「セキュリティ透明性確保に向けた可視化データ活用～脆弱性管理編～」として公表した。

　SBOMなどの可視化データは、複数の標準仕様が存在し、生成ツールの出力内容にバラつきが見られ、脆弱性管理において、対応すべき脆弱性を正しく特定できないリスクがあると説明。対応すべき脆弱性を特定するためには、可視化データの品質を正しく評価する必要があるとして、可視化データの評価指標に関する知見を示している。

　また、可視化データに対応する多様な技術・ツールが既に利用可能になっているが、脆弱性管理においては十分といえない状況があるとして、可視化データを「つかう側」がうまく使いこなすための知見を示している。

　「つかう側」が脆弱性管理に可視化データを活用するためには、人材育成により、可視化データの活用方法を理解することが急務となり、そのコスト負担が必要となると説明。「つかう側」が可視化データを理解し、脆弱性管理を活用するために必要な教育についての知見を示している。

　継続的な活用については、脆弱性管理が可視化データ活用以前から行われていると、可視化データ活用導入を一度に完了できない場合があると説明。既存の脆弱性管理の仕組みに、可視化データの活用を段階的に浸透させていくための知見を示している。

　サプライチェーン上の調整については、製品・サービス・システムのサプライチェーンは多段構成であることが多く、脆弱性が発生した場合には、個別企業などの単一組織内にとどまらず、組織を越えた相互協力が必要となるとして、サプライチェーン上の組織間での相互協力や合意形成に関する知見を示している。

　可視化データがもたらす影響については、可視化データの脆弱性管理における活用が浸透し、セキュリティの透明性が高まると大量の脆弱性が検出され、従来は対処の必要がなかった事象についても、対処の判断を求められるケースが増加するとして、検出された脆弱性に対して適切に評価・優先付けを行うための指標を示している。

　コンソーシアムの活動成果は、SBOMなどの可視化データの活用開始直後、もしくは可視化データ活用の検討時期に多くの事業者が直面する問題・課題解決に向けて、具体的なユースケースである脆弱性管理を対象にして多様な事業者が協調して取り組んだ内容をまとめている。国内初の公表事例となり、この事例を活用することで、脆弱性管理でのセキュリティの透明性が高まり、さまざまな業界でのサプライチェーンセキュリティリスクの低減が期待されるとともに、今後脆弱性管理以外の可視化データ活用を推進していく上での参考事例にもなるとしている。

　コンソーシアムでは引き続き、多様な事業者の協調的な取り組みによって、可視化データ活用における問題・課題の対処策を共創していくと説明。対象ユースケースも脆弱性管理にこだわらずに、「セキュリティ透明性確保に向けた可視化データ活用」としてとりまとめ、コンソーシアムのウェブサイトで2025年以降、順次公表していく予定としている。