SBOMなどの可視化データ活用知見を共創「セキュリティ透明性確保に向けた可視化データ活用~脆弱性管理編~」をセキュリティ・トランスペアレンシー・コンソーシアムが公表

日本電信電話株式会社

 サプライチェーンセキュリティリスクの低減を目的とする「セキュリティ・トランスペアレンシー・コンソーシアム(Security Transparency Consortium、会長:情報セキュリティ大学院大学 後藤厚宏、以下 「本コンソーシアム」)」※1のワーキンググループにおいて、日本電信電話株式会社および日本電気株式会社を主査、副主査とし多様な事業者で構成される14社※2が、2024年2月に公表した活動ビジョン「セキュリティ透明性の向上と活用に向けて」※3のもと、SBOM※4などの可視化データ※5を利用する際に「つかう側」が直面する問題・課題解決に取り組んでいます。
 この度、脆弱性管理に可視化データを活用する場合の具体例として、脆弱性の特定や優先付けなどに可視化データを「つかう側」が直面する問題・課題に対処するための知見を共創し、本コンソーシアムの活動成果として「セキュリティ透明性確保に向けた可視化データ活用~脆弱性管理編~」を公表しました。これは可視化データを「つかう側」「つくる側」双方の多様な事業者が共創し、可視化データの脆弱性管理活用に関する国内初の公表事例であり、従来「つくる側」に偏りがちだった可視化データ活用に、「つかう側」の視点も取り入れた知見です。これから脆弱性管理に可視化データの活用を検討しようとしている様々な業界の事業者に役立つことが期待されます。

1.背景と目的
 製品・システム・サービスに対する「サプライチェーンセキュリティリスク」に対処するために、製品・システム・サービスの透明性を確保するSBOMなどの可視化データが注目されております。経済産業省は、2024年8月29日に、「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引ver2.0」を公表し、SBOMの導入促進に取り組んでいます。一方、SBOMの活用法に関しては、医療業界や自動車業界を中心とした検討が行われており、今後も様々なユースケースでの活用が期待されています。
 そうした中で可視化データを実際に活用するためには様々な問題・課題も存在し、具体的なユースケースに基づいた対処策が強く求められております。本コンソーシアムにおいても、可視化データ活用に関して、「つかう側」が直面する問題・課題を整理し、対処するための活動方針を定めた活動ビジョンを2024年2月に公表しました。脆弱性管理での可視化データ活用は非常に期待されているユースケースであり、上記問題・課題の対処は、1社では解決できないものが多く含まれるため、多様な事業者の協調による知見創出が必要となります。
   
2.「セキュリティ透明性確保に向けた可視化データ活用~脆弱性管理編~」の概要
 本コンソーシアムでは、活動ビジョンで提起した問題・課題について、可視化データの活用が最も期待されているユースケースの一つである脆弱性管理を対象とした具現化を行い、対処するための知見を共創しましたので、本コンソーシアムの活動成果「セキュリティ透明性確保に向けた可視化データ活用~脆弱性管理編~」としてウェブサイト※3にて公表しました。概要を活動ビジョンで提起した問題・課題に沿って以下に示します。

(1)フォーマット・データ
 SBOMなどの可視化データは、複数の標準仕様が存在し、生成ツールの出力内容にバラつきがみられます。そのため、脆弱性管理において、対応すべき脆弱性を正しく特定できないリスクがあります。対応すべき脆弱性を特定するためには、可視化データの品質を正しく評価する必要があり、可視化データの評価指標に関する知見を示します。
(2)技術・ツール
 可視化データに対応する多様な技術・ツールが既に利用可能になっていますが、脆弱性管理においては十分といえない状況があります。可視化データを「つかう側」がうまく使いこなすための知見を示します。
(3)活用コスト
 「つかう側」が脆弱性管理に可視化データを活用するためには、人材育成により、可視化データの活用方法を理解することが急務となり、そのコスト負担が必要となります。「つかう側」が可視化データを理解し、脆弱性管理を活用するために必要な教育についての知見を示します。
(4)継続的な活用
 脆弱性管理が可視化データ活用以前から行われていると、可視化データ活用導入を一度に完了できない場合があります。既存の脆弱性管理の仕組みに可視化データの活用を段階的に浸透させていくための知見を示します。 
(5)サプライチェーン上の調整
 製品・サービス・システムのサプライチェーンは多段構成であることが多く、脆弱性が発生した場合には、個別企業などの単一組織内に留まらず、組織を越えた相互協力が必要となります。サプライチェーン上の組織間での相互協力や合意形成に関する知見を示します。
(6)可視化データがもたらす影響
 可視化データの脆弱性管理における活用が浸透し、セキュリティの透明性が高まると大量の脆弱性が検出され、従来は対処の必要がなかった事象についても、対処の判断を求められるケースが増加します。そのため検出された脆弱性に対し適切に評価・優先付けを行うための指標を示します。

 本コンソーシアムの活動成果は、SBOMなどの可視化データの活用開始直後、もしくは可視化データ活用の検討時期に多くの事業者が直面する問題・課題解決に向けて、具体的なユースケースである脆弱性管理を対象にして多様な事業者が協調して取り組んだ内容をまとめた、国内初の公表事例です。本事例を活用することで、脆弱性管理でのセキュリティの透明性が高まり、様々な業界でのサプライチェーンセキュリティリスクの低減が期待されます。今後脆弱性管理以外の可視化データ活用を推進していく上での参考事例にもなります。

3.今後の展開
 本コンソーシアムでは、引き続き、多様な事業者の協調的な取り組みによって、可視化データ活用における問題・課題の対処策を共創していきます。対象ユースケースも脆弱性管理に拘らずに「セキュリティ透明性確保に向けた可視化データ活用」としてとりまとめ、本コンソーシアムのウェブサイト※3にて、2025年以降、順次公表していく予定です。更に本コンソーシアムの参加事業者※2※7の拡大にも引き続き取り組んでおり、さらなる募集をウェブサイト※8にて実施中です。

※1
日本電信電話株式会社※6、日本電気株式会社を幹事事業者として2023年9月に発足したコンソーシアム
※2
日本電信電話株式会社(本社:東京都千代田区、代表取締役社長:島田 明)
日本電気株式会社(本社:東京都港区、取締役 代表執行役社長兼CEO:森田 隆之)
アラクサラネットワークス株式会社(本社:神奈川県川崎市、代表取締役社長兼CEO:村中 孝行)
NRIセキュアテクノロジーズ株式会社(本社:東京都千代田区、代表取締役社長:建脇 俊一)
株式会社NTC(本社:東京都豊島区、代表取締役社長:浜口 幸洋)
株式会社NTTデータグループ(本社:東京都江東区、代表取締役社長:佐々木 裕)
株式会社ジークス(本社:東京都千代田区、代表取締役 最高経営責任者:渡辺 浩)
株式会社ラック(本社:東京都千代田区、代表取締役社長:西本 逸郎)
Contrast Security, Inc(本社:米国カリフォルニア州プレザントン、CEO:Rick Fitz)
Covalent株式会社(本社:東京都千代田区、代表取締役社長:小林 弘樹)
サイバートラスト株式会社(本社:東京都港区、代表取締役社長:北村 裕司)
東京エレクトロン株式会社(本社:東京都港区、代表取締役社長兼CEO:河合 利樹)
三井住友トラストグループ株式会社(本社:東京都千代田区、取締役執行役社長(CEO):高倉 透)
三菱電機株式会社(本社:東京都千代田区、執行役社長:漆間 啓)
※3
セキュリティ・トランスペアレンシー・コンソーシアムウェブサイト「情報発信」
URL:https://www.st-consortium.org/?page_id=1239 
※4
Software Bill of Materials、製品に含まれるソフトウェア部品を一覧化するためのデータ形式
URL:https://www.ntia.gov/
※5
サプライチェーンにおいて事業者間で授受される製品、システム、サービスなどのソフトウェアやハードウェアの構成や状態、リスクの情報を可視化したデータのこと
※6
日本電信電話株式会社の代表参加を通じて以下のNTTグループ各社も本コンソーシアムと連携します。
東日本電信電話株式会社(本社:東京都新宿区、代表取締役社長:澁谷 直樹)、
西日本電信電話株式会社(本社:大阪府大阪市都島区、代表取締役社長:北村 亮太)、
株式会社NTTドコモ(本社:東京都千代田区、代表取締役社長:前田 義晃)、
NTTコミュニケーションズ株式会社(本社:東京都千代田区、代表取締役社長:小島 克重)、
NTTアドバンステクノロジ株式会社(本社:東京都新宿区、代表取締役社長:伊東 匡)、
NTTテクノクロス株式会社(本社:東京都港区、代表取締役社長:岡 敦子)
NTTセキュリティジャパン(本社:東京都千代田区、代表取締役社長:関根 太郎)
※7(2024年9月30日現在)
・株式会社アシュアード
・株式会社FFRIセキュリティ
・シスコシステムズ合同会社
・株式会社日立製作所
※8
セキュリティ・トランスペアレンシー・コンソーシアムウェブサイト「加入について」
URL:https://www.st-consortium.org/?page_id=6
 

 

その他のリリース

話題のリリース

機能と特徴

お知らせ