採用情報

お問い合わせ

教えてみらくるちゃん!SBOM と脆弱性管理の基礎知識

  1. HOME
  2. Linux/OSS
  3. MIRACLE Vul Hammer
  4. 教えてみらくるちゃん!SBOM と脆弱性管理の基礎知識

教えてみらくるちゃん!SBOM と脆弱性管理の基礎知識

  • いま、IT セキュリティで話題の SBOM や脆弱性管理についてみらくるちゃんが解説していくよ!
  • わーい、よろしくなんだもん!
目次
  1. 脆弱性管理とは?
  2. SBOM とは?
  3. SBOM と脆弱性管理

脆弱性管理とは

脆弱性管理とは、サーバなどのシステムに内在するソフトウェアについて、脆弱性情報を収集し、システムの評価を行ない、脆弱性対応を計画し、脆弱性対応(緩和策の実施やセキュリティパッチの適用)を行なう一連の流れを指します。

  • 脆弱性管理って脆弱性診断とは違うんだもん?
  • 脆弱性診断はシステムを外側から調査したり、攻撃者の視点で攻撃シナリオを使ってテストしたりしてシステムを評価するサービスが一般的だね。
  • 調べてもらった結果とか具体的な対策案のレポートがもらえるんだもん。
  • そうだね。脆弱性診断はWebアプリケーションの公開前や、数か月に一回のような定期的な感覚で実施することが多いよ。人の健康に例えると、脆弱性管理は毎日の体調管理で、脆弱性診断は定期的な健康診断って感じかな。
  • なるほど。でも毎日確認するなんて大変なんだもん。脆弱性がいっぱい見つかったらどうするんだもん?対応できないもん...。
  • 脆弱性管理を毎日することで、危険な脆弱性が見つかったときにすぐに対応できるというメリットがあるよ。いっぱい見つかった場合でも、優先度を付けて対応していくことが大事だよ。
  • 脆弱性の中には、システムの環境によって影響がないものや、設定を変えることで回避することができるものがあるんだ。CVSS などの重大性を測るスコアや、システムの環境、重要度を見ながら対応が必要なものに対処しよう。
  • 脆弱性管理ツールなら毎日システムをスキャンして、検知した脆弱性のスコアを確認することができるから便利だよ。

● サイバートラストの脆弱性管理ツール「MIRACLE Vul Hammer」はこちら

SBOMとは

SBOM(Software Bill of Materials)は、作成するソフトウェアとそのソフトウェアで利用する外部のライブラリやソフトウェアの⼀覧とライセンス・コピーライト等のメタ情報で構成されるリストを指します。サイバー攻撃の増加に伴いソフトウェアサプライチェーンセキュリティの強化が重要視される中で、SBOM はソフトウェアの提供者から利用者が運用するソフトウェアサプライチェーンの透明性を担保する重要な役割を担っています。

詳しくは、サイバートラストのブログで解説しています。

  • ところで「透明性」ってなんなんだもん?
  • ソフトウェアがどのように作られて、どんな部品が使われているかを明確に把握できる状態のことだね。ソフトウェアサプライチェーンセキュリティでは「透明性」と表現することがあるよ。SBOM を使うことでセキュリティリスクを特定したり、責任範囲を明確にしたりするために使われるよ。
  • セキュリティリスクって、ソフトウェアの脆弱性とかなんだもん?
  • その通り!
    ソフトウェアの脆弱性もそうだし、サプライチェーンの信頼性のリスクや、EOL (サービス終了) のリスクもサプライチェーンセキュリティで課題になっているセキュリティリスクだね。サイバートラストの脆弱性管理ツールでは、SBOM を使って脆弱性を発見することができるんだ。
  • ハッ、脆弱性管理と繋がったもん。

SBOM と脆弱性管理

運用するシステムの構成情報として SBOM を利用することでソフトウェアに依存するコンポーネントの把握が可能です。そして、それらのコンポーネントの名前やバージョン、入手元などの情報を SBOM で管理することで脆弱性の検知を行なうことが可能になります。

  • SBOM からどうやって脆弱性を見つけるんだもん?
  • SBOM に含まれる、ソフトウェアやハードウェアの製品を一意に識別するための CPEソフトウェアの依存関係やパッケージマネージャで利用されるパッケージを一意に特定するために使われる PURL などを使うことで、脆弱性の情報と紐づけるんだ。他にも、ソフトウェアの情報と脆弱性などのセキュリティ情報を紐づけるための新たな識別子や、SBOM の仕様が今も議論されているよ。
  • へぇ〜!
    脆弱性管理用の SBOM ってもう一般的になってるんだもん?
  • 一部の業界では SBOM の提出が必要になっているね。日本では、経済産業省が ソフトウェア管理に向けた SBOM (Software Bill of Materials)の導入に関する手引 を公開していて、この中でも SBOM を使った脆弱性管理の例があげられているよ。いろいろな業界のセキュリティガイドラインで SBOM が言及されるようになってきたんだ。ちなみに、サイバートラストの AlmaLinux でも SBOM を提供しているよ。
  • いろいろな業界で SBOM が必要になるかもしれないんだもんね。
    でも...、SBOM についてよく知らないし、作ったり、管理したりするのは大変そうだもん...。
  • サイバートラストでは SBOM の作成支援や、組織でのルール作りをお手伝いする SBOM コンシェルジュ をやっているよ。無料の入門セミナーもやっているみたいだから参加してみよう!
  • 助かるもん!まずは入門セミナーに参加してみるんだもん!

●「SBOM コンシェルジュ」はこちら

SBOM

法令対応、SBOMへの対応をお考えの方へ

SBOMダウンロード

SBOMで何を解決するか?
~組織間をつなぐ手段としてのSBOM~

ダウンロード
BannerImage
MIRACLE Vul Hammer お問合せフォーム

MIRACLE Vul Hammer について、導入のご相談・ご質問などがありましたら、下記のフォームよりお問い合わせください。

お気軽にご相談ください!
  • 機能の詳細を知りたい
  • 価格やサポートについて相談したい
  • デモを試してみたい
  • オンプレ版について
お気軽にお問い合わせください!
※入力間違いにご注意ください。
CentOS 7 延長サポートサービス
デジタルトランスフォーメーションのための電子認証基盤 iTrust
SSL/TLS サーバー証明書 SureServer Prime