サイバーセキュリティクラウド(CSC)は2024年7月23日、脆弱性管理ツール「SIDfm VM」にSBOM(ソフトウェア部品表)管理機能を追加したと発表した。SBOMファイルをインポートし、脆弱性データベースと照合して脆弱性を検出できるようになった。
サイバーセキュリティクラウド(CSC)の「SIDfm VM(エスアイディーエフエム ヴイエム)」は、脆弱性情報を収集・管理するソフトウェアである。OS、アプリケーション、ネットワーク製品の脆弱性情報を自動収集・蓄積し、ユーザーが必要な情報を特定する。対策すべき脆弱性と対策内容が一目で分かり、対策の進捗状況も管理できる(図1)。
図1:脆弱性情報収集・管理ツール「SIDfm」の概要(出典:サイバーセキュリティクラウド)拡大画像表示
SIDfmは脆弱性情報として、NVD(National Vulnerability Data)、KEV(Known Exploited Vulnerabilities)、JVN(Japan Vulnerability Notes)などを参照する。CSCはこれらの情報を読解してリスクを評価し、独自の指標や日本語の解説を付加した脆弱性情報として提供する。「ユーザーはこの提供のみで脆弱性の概要から、影響を受けるバージョンや対処方法などの情報を日本語で把握でき、優先すべき脆弱性の対処にリソースを集中させられる」(同社)。
今回、SBOM(ソフトウェア部品表)ファイルをインポートする管理機能を追加した。取り込めるSBOM形式は、SPDX(2.2/2.2.1/2.2.2/2.3/2.3.1)またはCycloneDX(1.1/1.2/1.3/1.4)。いずれもJSONまたはXMLフォーマットに対応する。
管理対象のホスト(コンピュータ)単位で、SBOMのインポート状況を一覧できる。また、インポートしたSBOMを、脆弱性データベースとの照合用データに自動変換して脆弱性を検出可能である(画面1)。
画面1:脆弱性情報収集・管理ツール「SIDfm」に追加したSBOM管理機能の画面(出典:サイバーセキュリティクラウド)拡大画像表示
CSCは、「サプライチェーンの弱点を悪用したサイバー攻撃による被害が増える中、SBOMの需要が高まっている」と指摘する。米国では2021年5月発布のサイバーセキュリティ強化のための大統領令で、SBOM作成の指示が出された。国内では、経済産業省が2023年7月に「ソフトウェア管理に向けたSBOMの導入に関する手引」を公開している。
「SBOMは、サプライチェーンの透明性を高めるために活用されており、特に脆弱性管理での利用が期待されている。ソフトウェアの提供者/利用者においては、自社が提供または利用するソフトウェアに含まれるオープンソースソフトウェア(OSS)を含め、SBOMによって脆弱性を効率的に管理する需要が高まっている」(同社)
CSCは、SBOMの導入支援/作成ツールは多く存在し、ソフトウェア提供者が利用者に対してSBOMを納品することは比較的容易であると説明。一方で、効果的な脆弱性管理のためには、SBOMに記載されたOSSなどに新たな脆弱性が見つかった際に迅速に気づき、適切に対処する必要があると指摘する。
