NRIセキュア、ソフトウェアのSBOMを活用した脆弱性管理の支援サービスを提供

　NRIセキュアテクノロジーズ株式会社（以下、NRIセキュア）は19日、「サプライチェーントラストサービス」のラインアップとして、SBOM（ソフトウェア部品表）を活用した脆弱性監視を支援する「SBOMに対応した脆弱性監視サービス」を提供開始すると発表した。

　SBOMとは、製品等のソフトウェアが使用するオープンソースソフトウェア（OSS）ライブラリ等のコンポーネント（ソフトウェア部品）や、それらの依存関係等の情報を含む一覧表。近年では、ソフトウェアサプライチェーン全体のセキュリティ対策として注目が集まっているほか、さまざまな法規・ガイドラインでは、SBOMの導入とともに、製品のソフトウェアの脆弱性管理、特に、製品のリリース後に新たに発生する脆弱性への対応を求めているとのこと。

　また、経済産業省が8月29日に公表した「ソフトウェア管理に向けたSBOMの導入に関する手引ver 2.0」（以下、手引書の改訂版）では、SBOMを活用した脆弱性管理プロセスに関する内容が盛り込まれている。

　ただし、SBOMの導入によって製品等のソフトウェアが使用するコンポーネントを把握できるようになる一方、従来と比べて脆弱性の監視対象のコンポーネント数が増加し、脆弱性情報の収集にかかる負担が大きくなるといった問題があるとのこと。また、脆弱性のトリアージや対応には、サイバーセキュリティの知見やスキルが求められるため、それらの運用をうまくまわせていないことが多くの企業の課題になっているという。

　今回発表したサービスは、製造業をはじめとする企業の品質保証部門やPSIRT等による、「手引書の改訂版」に沿って、SBOMを活用した脆弱性管理プロセスの実施を支援するもので、製品等のソフトウェアのSBOMをもとに、NRIセキュアが脆弱性の監視・トリアージを行い、検出された脆弱性情報およびそれらのトリアージ結果を含むレポートを提供するとした。

　まず、脆弱性の監視（「手引書の改訂版」における、脆弱性管理プロセスの脆弱性特定フェーズ）の支援では、幅広い種類の脆弱性情報の収集を実施する。具体的には、NVDやJVNをはじめとする脆弱性情報データベースに加え、悪用が確認された脆弱性（KEV）のカタログ、コンポーネントのEOL（End of Life）情報等の脆弱性情報を幅広く収集する。これにより、厚生労働省の「医療機器のサイバーセキュリティ導入に関する手引書（第2版）」等が求める、脆弱性情報の収集を実施できるようになるとした。

　また、脆弱性のトリアージ（「手引書の改訂版」における脆弱性管理プロセスの脆弱性対応優先付けフェーズ）の支援では、CVSS（共通脆弱性評価システム）のスコアに加え、脆弱性が悪用される可能性を示す指標であるEPSSのスコア、脆弱性の悪用やPoCコードの有無を組み合わせた優先度に基づき、トリアージを実施する。さらに製造業をはじめとする企業向けには、サプライヤーの決定木に対応した優先度付けを行う、SSVCによるトリアージも行うとのこと。

　そして、SBOMに含まれる依存関係の情報をもとに、脆弱性情報が検出されたコンポーネントと、それを使用するトップレベルの依存関係にあるコンポーネントを出力することで、対応すべき対象のコンポーネントを効率的に絞り込めるように支援するとしている。

　なお、製品のソフトウェアは、出荷先の要望や規制等の事情により、仕様や機能が異なる複数のバージョンがリリースされる場合があり、市場にリリースされているすべてのバージョンを対象とした脆弱性管理が求められている。そこで今回のサービスでは、複数のバージョンを横断した脆弱性の監視・トリアージに対応しており、製品のリリース後、新たに発生した脆弱性の影響を受ける可能性があるソフトウェアのバージョンを把握できるとしている。