SBOMなどの可視化データ活用知見を共創「セキュリティ透明性確保に向けた可視化データ活用～脆弱性管理編～」をセキュリティ・トランスペアレンシー・コンソーシアムが公表
～多様な事業者による共創を通じサプライチェーンセキュリティリスク対処能力を向上～

サプライチェーンセキュリティリスクの低減を目的とする「セキュリティ・トランスペアレンシー・コンソーシアム（Security Transparency Consortium、会長：情報セキュリティ大学院大学　後藤 厚宏、以下「本コンソーシアム」）」^※1のワーキンググループにおいて、日本電信電話株式会社および日本電気株式会社を主査、副主査とし多様な事業者で構成される14社^※2が、2024年2月に公表した活動ビジョン「セキュリティ透明性の向上と活用に向けて」^※3のもと、SBOM^※4などの可視化データ^※5を利用する際に「つかう側」が直面する問題・課題解決に取り組んでいます。
　この度、脆弱性管理に可視化データを活用する場合の具体例として、脆弱性の特定や優先付けなどに可視化データを「つかう側」が直面する問題・課題に対処するための知見を共創し、本コンソーシアムの活動成果として「セキュリティ透明性確保に向けた可視化データ活用～脆弱性管理編～」を公表しました。これは可視化データを「つかう側」「つくる側」双方の多様な事業者が共創し、可視化データの脆弱性管理活用に関する国内初の公表事例であり、従来「つくる側」に偏りがちだった可視化データ活用に、「つかう側」の視点も取り入れた知見です。これから脆弱性管理に可視化データの活用を検討しようとしている様々な業界の事業者に役立つことが期待されます。

1. 背景と目的

製品・システム・サービスに対する「サプライチェーンセキュリティリスク」に対処するために、製品・システム・サービスの透明性を確保するSBOMなどの可視化データが注目されております。経済産業省は、2024年8月29日に、「ソフトウェア管理に向けたSBOM（Software Bill of Materials）の導入に関する手引ver2.0」を公表し、SBOMの導入促進に取り組んでいます。一方、SBOMの活用法に関しては、医療業界や自動車業界を中心とした検討が行われており、今後も様々なユースケースでの活用が期待されています。
　そうした中で可視化データを実際に活用するためには様々な問題・課題も存在し、具体的なユースケースに基づいた対処策が強く求められております。本コンソーシアムにおいても、可視化データ活用に関して、「つかう側」が直面する問題・課題を整理し、対処するための活動方針を定めた活動ビジョンを2024年2月に公表しました。脆弱性管理での可視化データ活用は非常に期待されているユースケースであり、上記問題・課題の対処は、1社では解決できないものが多く含まれるため、多様な事業者の協調による知見創出が必要となります。

2. 「セキュリティ透明性確保に向けた可視化データ活用～脆弱性管理編～」の概要

本コンソーシアムでは、活動ビジョンで提起した問題・課題について、可視化データの活用が最も期待されているユースケースの一つである脆弱性管理を対象とした具現化を行い、対処するための知見を共創しましたので、本コンソーシアムの活動成果「セキュリティ透明性確保に向けた可視化データ活用～脆弱性管理編～」としてウェブサイト^※3にて公表しました。概要を活動ビジョンで提起した問題・課題に沿って以下に示します。

本コンソーシアムの活動成果は、SBOMなどの可視化データの活用開始直後、もしくは可視化データ活用の検討時期に多くの事業者が直面する問題・課題解決に向けて、具体的なユースケースである脆弱性管理を対象にして多様な事業者が協調して取り組んだ内容をまとめた、国内初の公表事例です。本事例を活用することで、脆弱性管理でのセキュリティの透明性が高まり、様々な業界でのサプライチェーンセキュリティリスクの低減が期待されます。今後脆弱性管理以外の可視化データ活用を推進していく上での参考事例にもなります。

3. 今後の展開

本コンソーシアムでは、引き続き、多様な事業者の協調的な取り組みによって、可視化データ活用における問題・課題の対処策を共創していきます。対象ユースケースも脆弱性管理に拘らずに「セキュリティ透明性確保に向けた可視化データ活用」としてとりまとめ、本コンソーシアムのウェブサイト^※3にて、2025年以降、順次公表していく予定です。更に本コンソーシアムの参加事業者^※2※7の拡大にも引き続き取り組んでおり、さらなる募集をウェブサイト^※8にて実施中です。

^※1日本電信電話株式会社^※6、日本電気株式会社を幹事事業者として2023年9月に発足したコンソーシアム

^※2日本電信電話株式会社（本社：東京都千代田区、代表取締役社長：島田 明）
日本電気株式会社（本社：東京都港区、取締役 代表執行役社長兼CEO：森田 隆之）
アラクサラネットワークス株式会社（本社：神奈川県川崎市、代表取締役社長兼CEO：村中 孝行）
NRIセキュアテクノロジーズ株式会社（本社：東京都千代田区、代表取締役社長：建脇 俊一）
株式会社NTC（本社：東京都豊島区、代表取締役社長：浜口 幸洋）
株式会社NTTデータグループ（本社：東京都江東区、代表取締役社長：佐々木 裕）
株式会社ジークス（本社：東京都千代田区、代表取締役　最高経営責任者：渡辺 浩）
株式会社ラック（本社：東京都千代田区、代表取締役社長：西本 逸郎）
Contrast Security, Inc.（本社：米国カリフォルニア州プレザントン、CEO：Rick Fitz）
Covalent株式会社（本社：東京都千代田区、代表取締役社長：小林 弘樹）
サイバートラスト株式会社（本社：東京都港区、代表取締役社長：北村 裕司）
東京エレクトロン株式会社（本社：東京都港区、代表取締役社長兼CEO：河合 利樹）
三井住友トラストグループ株式会社（本社：東京都千代田区、取締役執行役社長（CEO）：高倉 透）
三菱電機株式会社（本社：東京都千代田区、執行役社長：漆間 啓）

^※3セキュリティ・トランスペアレンシー・コンソーシアムウェブサイト「情報発信」
URL：https://www.st-consortium.org/?page_id=1239

^※4Software Bill of Materials、製品に含まれるソフトウェア部品を一覧化するためのデータ形式
URL：https://www.ntia.gov/

^※5サプライチェーンにおいて事業者間で授受される製品、システム、サービスなどのソフトウェアやハードウェアの構成や状態、リスクの情報を可視化したデータのこと

^※6日本電信電話株式会社の代表参加を通じて以下のNTTグループ各社も本コンソーシアムと連携します。
東日本電信電話株式会社（本社：東京都新宿区、代表取締役社長：澁谷 直樹）
西日本電信電話株式会社（本社：大阪府大阪市都島区、代表取締役社長：北村 亮太）
株式会社NTTドコモ（本社：東京都千代田区、代表取締役社長：前田 義晃）
NTTコミュニケーションズ株式会社（本社：東京都千代田区、代表取締役社長：小島 克重）
NTTアドバンステクノロジ株式会社（本社：東京都新宿区、代表取締役社長：伊東 匡）
NTTテクノクロス株式会社（本社：東京都港区、代表取締役社長：岡 敦子）
NTTセキュリティジャパン（本社：東京都千代田区、代表取締役社長：関根 太郎）

^※7（2024年9月30日現在）
・株式会社アシュアード
・株式会社FFRIセキュリティ
・シスコシステムズ合同会社
・株式会社日立製作所

^※8セキュリティ・トランスペアレンシー・コンソーシアムウェブサイト「加入について」
URL：https://www.st-consortium.org/?page_id=6