- Column
- 社会の成長を止めないIoTセキュリティの姿
自動車業界で急務のサイバーセキュリティ対策はSBOM活用で高度化を
IoTセキュリティフォーラム2023より、ベリサーブの藤原 洋平 氏
- 提供:
- ベリサーブ
ISO/SAE 21434が明示するSBOM活用法が参考に
SBOMの共有に向けた課題は、「SBOMをどう管理するか」である。米国のNTIA(商務省電気通信情報局)やNIST(標準技術研究所)、国内では経済産業省が、それぞれガイドラインを発行してはいる。だが「具体的な記載事項や共有方法といった議論は現在進行形であり、グローバルな統一標準の策定までには至っていない」(藤原氏)のが実状だ。企業には「具体的な実施手法の見極めが強く求められている」(同)
SBOMの管理の一例として藤原氏は、「ISO/SAE 21434におけるSBOMの活用方法」を提案する。継続的なサイバーセキュリティ活動における、モニタリング、アセスメント、脆弱性分析、管理、対応の各段階で、SBOMを次のように活用する(図2)。
モニタリング
SBOMに記載されている網羅的な情報に基づき、監視対象に影響のあるサイバーセキュリティ情報を漏れなく把握する。サイバーセキュリティ情報の収集先の一例として、脆弱性対策データベースの「NVD」や「JVN iPedia」を利用する
アセスメント
収集したサイバーセキュリティ情報が当該製品に関連するものかどうかを評価する
脆弱性分析
該当製品に影響する脆弱性を分析する
脆弱性管理
どう対応するかを判断する。あえて残存させるのであれば管理を続ける。そうでなければ対応に踏み切る
ソフトウェア品質向上策での経験・ノウハウを基に脆弱性対策を支援
こうしたSBOMの作成から管理までに対する支援をベリサーブは提供する。同社は約40年前から1100社以上の企業におけるソフトウェア品質の向上を支援してきた。その対象は、スマートフォンやデジカメ、自動車や航空機などの大小製品から、企業情報システム、Webサイト、パッケージソフトウェアまで多岐にわたる。
サイバーセキュリティリスクへの対応ノウハウも、Webアプリケーションの脆弱性診断サービスを通じて積み上げている。藤原氏は、「当社は既に、SBOM作成や、そこへの情報登録、CPEと脆弱性のマッチングなどを複数メーカーに提供している」と明かす。
サイバーセキュリティ対応に向けたサプライチェーン全体での脆弱性管理は過渡期にある。「SBOMへの記載内容や管理手法に関しては先進企業であっても手探りで進めている状況にある。SBOMをどう活用するかは企業ごとに違いがあるはずだ。当社が持つ技術とノウハウにより、各社に最適な仕組み作りを支援していく」と藤原氏は力を込めた。
お問い合わせ先
株式会社ベリサーブ
お問い合わせ::https://www.veriserve.co.jp/contact/