NRIセキュアがSBOMを活用した脆弱性管理支援サービスを提供開始。多様な脆弱性情報を収集し、企業のセキュリティ対策を強化。
要約すると2023年9月19日、NRIセキュアテクノロジーズ株式会社は、SBOM(Software Bill of Materials)を活用した新たな脆弱性管理支援サービスを発表しました。
このサービスは「サプライチェーントラストサービス」の一環として提供され、特にソフトウェアの脆弱性監視を強化することを目的としています。
SBOMは、使用されるオープンソースソフトウェア(OSS)ライブラリやその依存関係を一覧化したもので、ソフトウェアサプライチェーンのセキュリティ対策として重要視されています。
最近の法規やガイドラインでは、SBOMの導入とともに、リリース後の脆弱性管理が求められています。
しかし、SBOMの導入により監視対象のコンポーネント数が増加し、脆弱性情報の収集負担が大きくなるという課題も浮上しています。
この新サービスは、製造業の企業に対し、手引書の改訂版に基づいた脆弱性管理プロセスを支援します。
具体的には、NRIセキュアが脆弱性の監視やトリアージを行い、得られた脆弱性情報を含むレポートを提供します。
脆弱性の監視では、NVDやJVNなどのデータベースから幅広い情報を収集し、脆弱性のトリアージではCVSSスコアやEPSSスコアを用いて優先順位を付けます。
また、SBOMに含まれる依存関係を基に、効率的に対応すべきコンポーネントを絞り込むことが可能です。
このサービスは、複数バージョンのソフトウェアに対する脆弱性管理にも対応しており、リリース後に新たに発生した脆弱性の影響を受ける可能性があるバージョンを把握できるよう支援します。
参考リンクhttps://news.yahoo.co.jp/articles/032c06d45581285149eb24c9a6bbbd85e1fb37e7