SBOM普及の本格化~製品セキュリティにおけるSBOMを使った脆弱性管理~

2022-05-09

製品セキュリティにおける脆弱性管理とその課題

自動車、家電製品、医療機器、防衛装備品、航空宇宙関連機器などの組み込み機器・製品群のIoT化が進んでいます。これに伴い、IoT機器などコネクテッド製品へのサイバーセキュリティ対策を検討する必要がありますが、その際には「研究開発」「製造」「市場利用」「廃棄」の製品ライフサイクル全体を包括したセキュリティプロセスを考える必要があります。特に、ユーザーが所有・利用する製品に対しては、継続的なセキュリティ確保が必要であり、対象製品に影響を与えかねない脆弱性を管理し、適切に対応する必要があります。

脆弱性を管理するには、日々発見・報告される脆弱性情報を収集し、それらが管理対象の製品に関連するかの該否判断をすることが求められます。特に、製品内でオープンソースソフトウェア(以下、OSS)を活用している場合、大量の脆弱性情報が報告されたり、頻繁にアップデートされることで影響を受けるバージョンを把握する必要があったりするなど、該否判断を難しくする要因が増えてきます。

このような脆弱性管理における課題への対応策として注目されているのが、ソフトウェアに含まれるコンポーネントを管理する仕組みであるソフトウェア部品表(SBOM)です。

執筆者

奥山 謙

ディレクター, PwCコンサルティング合同会社

Email

脆弱性管理の実効力を高めるSBOM

11 results
Loading...

ソフトウェアセキュリティリスクに対応するSBOMを企業全体でどう活用するか

SBOMはソフトウェアに含まれる全てのコンポーネントを明確にし、セキュリティの透明性を確保するための基本的なツールです。法規制に基づく導入要求の背景、ソフトウェアサプライチェーンリスクの特性、 SBOM運用の課題、そしてどのようなアプローチが必要になるのかを解説します。

欧州サイバーレジリエンス法~製造業が今すぐに取るべき対策~

欧州サイバーレジリエンス法(CRA)は、デジタル要素を含む製品のサイバーセキュリティを強化するための規則です。対象製品は規則に準拠していることを示すCEマークが必要となります。本稿では、製造業者が対応すべきCRAの法令要件の範囲やCEマーク利用のための適合性評価の流れを解説します。

Loading...

インサイト/ニュース

20 results
Loading...

脆弱性開示ポリシーと報奨金制度 ―脆弱性報告窓口運用におけるリスクと企業がとるべき戦略―

昨今の製品セキュリティを取り巻く規制や制度への対応に伴い、企業では脆弱性開示ポリシーの整備が進んでいます。脆弱性を迅速かつ効果的に修正し運用するための、脆弱性を発見した報告者と企業との協力関係の構築と、報告者に対して企業が支払う報奨金制度の活用について解説します。

Loading...