日本電信電話株式会社(NTT)は10月21日、「セキュリティ透明性確保に向けた可視化データ活用~脆弱性管理編~」を公表した。
サプライチェーンセキュリティリスクの低減を目的とする「セキュリティ・トランスペアレンシー・コンソーシアム」のワーキンググループでは、NTTおよび日本電気株式会社(NEC)を主査、副主査とし、アラクサラネットワークス株式会社、NRIセキュアテクノロジーズ株式会社、株式会社NTC、株式会社NTTデータグループ、株式会社ジークス、株式会社ラック、Contrast Security, Inc.、Covalent株式会社、サイバートラスト株式会社、東京エレクトロン株式会社、三井住友トラストグループ株式会社、三菱電機株式会社ら多様な事業者で構成された14社が、2024年2月に公表した活動ビジョン「セキュリティ透明性の向上と活用に向けて」のもと、SBOMなどの可視化データを利用する際に「つかう側」が直面する問題・課題解決に取り組んでいる。
同コンソーシアムでは今回、脆弱性管理に可視化データを活用する場合の具体例として、脆弱性の特定や優先付けなどに可視化データを「つかう側」が直面する問題・課題に対処するための知見を共創し、活動成果として「セキュリティ透明性確保に向けた可視化データ活用~脆弱性管理編~」を公表した。
「セキュリティ透明性確保に向けた可視化データ活用~脆弱性管理編~」は、可視化データを「つかう側」「つくる側」双方の多様な事業者が共創し、可視化データの脆弱性管理活用に関する国内初の公表事例で、これまで「つくる側」に偏りがちだった可視化データ活用に、「つかう側」の視点も取り入れた知見となる。
「セキュリティ透明性確保に向けた可視化データ活用~脆弱性管理編~」の概要は以下の通り。
・フォーマット・データ
SBOMなどの可視化データは複数の標準仕様が存在し、生成ツールの出力内容にバラつきがみられ、脆弱性管理で対応すべき脆弱性を正しく特定できないリスクがある。対応すべき脆弱性を特定するために、可視化データの品質を正しく評価する必要があるため、可視化データの評価指標に関する知見を示す。
・技術・ツール
可視化データに対応する多様な技術・ツールが既に利用可能になっているが、脆弱性管理では十分といえない状況があるため、可視化データを「つかう側」がうまく使いこなすための知見を示す。
・活用コスト
「つかう側」が脆弱性管理に可視化データを活用するためには、人材育成で可視化データの活用方法を理解することが急務で、そのコスト負担が必要となる。「つかう側」が可視化データを理解し、脆弱性管理を活用するために必要な教育についての知見を示す。
・継続的な活用
脆弱性管理が可視化データ活用以前から行われていると、可視化データ活用導入を一度に完了できない場合がある。既存の脆弱性管理の仕組みに可視化データの活用を段階的に浸透させていくための知見を示す。
・サプライチェーン上の調整
製品・サービス・システムのサプライチェーンは多段構成であることが多く、脆弱性が発生した場合には、個別企業などの単一組織内に留まらず、組織を越えた相互協力が必要となる。サプライチェーン上の組織間での相互協力や合意形成に関する知見を示す。
・可視化データがもたらす影響
可視化データの脆弱性管理における活用が浸透し、セキュリティの透明性が高まると大量の脆弱性が検出され、従来は対処の必要がなかった事象についても、対処の判断を求められるケースが増加する。そのため検出された脆弱性に対し適切に評価・優先付けを行うための指標を示す。
