NTTなど14社が参加するコンソーシアムが、SBOMを活用した脆弱性管理の資料を公開。可視化データの品質評価や活用方法を詳述し、サプライチェーンセキュリティの推進を目指す。
要約すると2023年10月21日、NTTを含む14社が参加するセキュリティ・トランスペアレンシー・コンソーシアムは、ソフトウェア部品表(SBOM)を脆弱性管理に活用するための資料「セキュリティ透明性確保に向けた可視化データ活用~脆弱性管理編~」を公開しました。
この資料は、SBOMなどの可視化データを脆弱性管理に役立てるために、「つくる側」と「つかう側」の両方の視点を取り入れた国内初のドキュメントです。
コンソーシアムは、サプライチェーンセキュリティの推進を目的に活動しており、2024年2月には通信やITの10社が活動ビジョンを発表する予定です。
資料は、SBOMの導入が進む中で、脆弱性管理における可視化データの品質評価や、技術・ツールの活用方法、活用コスト、継続的な活用方法、サプライチェーン上の調整、可視化データがもたらす影響などについて詳述しています。
具体的には、可視化データの品質を正しく評価するための指標や、脆弱性管理を成功させるために必要な人材育成の重要性、既存の脆弱性管理システムに可視化データを段階的に導入する方法、組織間の相互協力の必要性、検出された脆弱性の適切な評価方法などが挙げられています。
また、コンソーシアムは今後も多様な事業者との協調的な取り組みを進め、セキュリティの透明性確保に向けた可視化データの活用をさらに推進していく方針を示しています。
参考リンクhttps://news.yahoo.co.jp/articles/4aa8b719bd938057abb7a44617bcf71632d101bf