NRIセキュア、製品等のソフトウェアのSBOMを活用した脆弱性管理を支援するサービスを提供開始

NRIセキュアテクノロジーズ

2024年12月19日 12時00分

NRIセキュアテクノロジーズ株式会社（以下、NRIセキュア）は、「サプライチェーントラストサービス」のラインナップの一つとして、「SBOMに対応した脆弱性監視サービス（以下、本サービス）」の提供を、本日開始します。本サービスはSBOM（ソフトウェア部品表）を活用した脆弱性の監視を支援するものであり、これにより脆弱性管理プロセス全体の円滑な運用を実現します。

SBOMを活用した脆弱性管理プロセスの導入が進む背景

SBOMとは、製品等のソフトウェアが使用するオープンソースソフトウェア（OSS）[i]ライブラリ等のコンポーネント（ソフトウェア部品）やそれらの依存関係等の情報を含む一覧表であり、ソフトウェアサプライチェーン全体のセキュリティ対策として注目が集まっています。

「EUサイバーレジリエンス法（CRA）」[ii]、「医療機器サイバーセキュリティの原則及び実践（IMDRFガイダンス）」[iii]をはじめとする法規・ガイドラインでは、SBOMの導入とともに、製品のソフトウェアの脆弱性管理、特に製品のリリース後に新たに発生する脆弱性への対応を求めています。また、経済産業省が2024年8月29日に公表した「ソフトウェア管理に向けたSBOMの導入に関する手引ver 2.0（以下、手引書の改訂版）」[iv]へSBOMを活用した脆弱性管理プロセスに関する内容が盛り込まれました。今後、製造業をはじめとする企業を中心にSBOMを活用した脆弱性管理プロセスの導入が進んでいくと予想されます。

SBOMに対応した脆弱性監視サービスの概要

SBOMの導入によって製品等のソフトウェアが使用するコンポーネントを把握できるようになる一方、従来と比べ脆弱性の監視対象のコンポーネント数が増加し、脆弱性情報の収集にかかる負担が大きくなります。また、脆弱性のトリアージや対応にはサイバーセキュリティの知見やスキルが求められるため、それらの運用をうまくまわせていないことが多くの企業の課題となっています。

本サービスではそれらの課題を解決し、製造業をはじめとする企業の品質保証部門やPSIRT[v]等による「手引書の改訂版」に沿ったSBOMを活用した脆弱性管理プロセスの実施を支援します。製品等のソフトウェアのSBOMをもとに、NRIセキュアが脆弱性の監視・トリアージを行い、検出された脆弱性情報およびそれらのトリアージ結果を含むレポートを提供します。

図１：「SBOMに対応した脆弱性監視サービス」の概要図

本サービスの主な特長は、以下の3点です。

１．幅広い種類の脆弱性情報の収集

脆弱性の監視（「手引書の改訂版」における脆弱性管理プロセスの脆弱性特定フェーズ）の支援では、NVDやJVNをはじめとする脆弱性情報データベースの他、悪用が確認された脆弱性（KEV）のカタログ、コンポーネントのEOL（End of Life）情報等の脆弱性情報を幅広く収集します。これにより、厚生労働省の「医療機器のサイバーセキュリティ導入に関する手引書（第2版）」[vi]等が求める脆弱性情報の収集を実施できるようになります。

２．最新の手法による効率的な脆弱性のトリアージ

脆弱性のトリアージ（「手引書の改訂版」における脆弱性管理プロセスの脆弱性対応優先付けフェーズ）の支援では、CVSS（共通脆弱性評価システム）[vii]のスコアに加え、脆弱性が悪用される可能性を示す指標であるEPSS[viii]のスコア、脆弱性の悪用やPoCコードの有無を組み合わせた優先度に基づきトリアージを行います。また、製造業をはじめとする企業向けにサプライヤーの決定木に対応した優先度づけを行うSSVC[ix]によるトリアージも行います。

さらに、SBOMに含まれる依存関係の情報をもとに、脆弱性情報が検出されたコンポーネントとそれを使用するトップレベルの依存関係にあるコンポーネントを出力することで、対応すべき対象のコンポーネントを効率的に絞り込むことができます。

３．製品のソフトウェアのバージョンを横断した脆弱性の監視・トリアージ

製品のソフトウェアは出荷先の要望や規制等の事情により、仕様や機能が異なる複数のバージョンがリリースされる場合があります。そのため、市場にリリースされている全てのバージョンを対象に脆弱性管理を実施しなければなりません。本サービスでは、複数のバージョンを横断した脆弱性の監視・トリアージを行うことで、製品のリリース後に新たに発生する脆弱性の影響を受ける可能性があるソフトウェアのバージョンを把握することができます。

本サービスの詳細については、次のWebサイトをご参照ください。

https://www.nri-secure.co.jp/service/consulting/sbom-vulnerability-monitoring

また、NRIセキュアならびに株式会社野村総合研究所では、SBOMの導入を幅広く支援するサービスを提供しています。詳細については、次のWebサイトをご参照ください。

https://www.nri-secure.co.jp/service/consulting/sbom

https://aslead.nri.co.jp/products/gitlab/column/what-is-sbom.html

NRIセキュアは今後も、AIを活用しながら脆弱性対策の自動化や脆弱性検知レベルの向上などをはかり、脆弱性管理プロセス全体の更なる効率性・有効性を高めてまいります。

[i] オープンソースソフトウェア（OSS）：ソースコードが公開され、利用や改変、再配布を行うことが可能なソフトウェアやソフトウェア部品を指します。
[ii] EUサイバーレジリエンス法（CRA）：EU域内で販売するデジタル製品のサイバーセキュリティ対応を義務付ける法律です。
[iii] 医療機器サイバーセキュリティの原則及び実践（IMDRFガイダンス）：医療機器に関するサイバーセキュリティ対策の一般原則とベストプラクティスを整理した国際的なガイダンスです。
[iv] ソフトウェア管理に向けたSBOMの導入に関する手引：SBOMに関する基本的な情報を提供するとともに、SBOMの導入にあたり環境構築・体制整備フェーズ、SBOM作成・共有フェーズ、SBOM運用・管理フェーズにおいて認識・実施すべきポイントを示した手引きです。
[v] PSIRT（Product Security Incident Response Team）：製品のセキュリティ脆弱性に関わるリスクマネジメントや、セキュリティインシデント発生時の対応を行う組織を指します。
[vi] 医療機器のサイバーセキュリティ導入に関する手引書：医療機器のサイバーセキュリティに関する開発目標や技術的要件等をまとめた手引きで、脆弱性管理やインシデント対応等についても取りまとめられています。
[vii] CVSS（Common Vulnerability Scoring System）：脆弱性の深刻度を評価するための手法および指標です。
[viii] EPSS（Exploit Prediction Scoring System）：FIRSTが提供する脆弱性が悪用される可能性を予測するための指標です。
[ix] SSVC（Stakeholder-Specific Vulnerability Categorization）：米国カーネギーメロン大学が提唱した脆弱性のトリアージ手法です。脆弱性管理におけるステークホルダー（デプロイヤーやサプライヤー等）ごとに対応の優先度づけを行います。

【ご参考】

「サプライチェーントラストサービス」における支援メニュー

NRIセキュアでは、サイバーレジリエンス（サイバー攻撃への耐性）・ソフトウェアサプライチェーンの領域におけるリスク対策を総合的に支援する「サプライチェーントラストサービス」を提供しています。サプライチェーントラストサービスの支援メニューについては、以下の一覧表および次のニュースリリースをご参照ください。https://www.nri-secure.co.jp/news/2023/1220

「サプライチェーントラストサービス」における支援メニューの一覧