セキュリティ・トランスペアレンシー・コンソーシアムがSBOMなどの可視化データ活用に関する知見をまとめた報告書を発表。脆弱性管理における課題解決を目指す。
要約するとセキュリティ・トランスペアレンシー・コンソーシアムは、サプライチェーンセキュリティリスクの低減を目指し、SBOM(Software Bill of Materials)などの可視化データ活用に関する知見をまとめた「セキュリティ透明性確保に向けた可視化データ活用~脆弱性管理編~」を公表しました。
この活動は、日本電信電話株式会社(NTT)や日本電気株式会社(NEC)を含む14社が参加し、2024年2月に発表したビジョンに基づいています。
具体的には、可視化データの活用における問題や課題を解決するため、脆弱性管理に特化した知見を提供しています。
可視化データには複数の標準仕様があり、生成ツールの出力内容にばらつきがあるため、脆弱性を正しく特定するリスクが存在します。
このため、可視化データの品質評価が重要であると指摘されています。
また、既存の技術やツールは利用可能ですが、脆弱性管理において十分ではないとのことです。
さらに、可視化データの活用方法を理解するための人材育成が急務であり、そのためのコスト負担も必要とされています。
脆弱性管理の継続的な活用には、段階的な浸透が求められ、サプライチェーン上では組織間の協力が不可欠です。
可視化データの利用が進むことで、セキュリティの透明性が向上し、従来は対処が不要だった脆弱性に対しても対処が求められるようになるため、適切な評価と優先付けが重要になります。
コンソーシアムは今後も多様な事業者と協力し、可視化データ活用に向けた取り組みを進める予定です。
参考リンクhttps://news.yahoo.co.jp/articles/7db4ec2ca9e973a6f50e5d5f5d9d6dacfc56c9aa