IoT機器の脆弱性をSBOMから管理・診断するサービス、サイエンスパークが開始

　サイエンスパークの「SBOM脆弱性定期レポートサービス」は、IoT（Internet of Things：モノのインターネット）機器のファームウェアに採用されているOSS（オープンソースソフトウェア）の脆弱性を管理・診断するサービス。SBOM（Software Bill of Materials：ソフトウェア部品表）を分析し判断する。日々更新される脆弱性への対処を早めてサイバー攻撃のリスクを防止できるとする。

　サービスの利用者は、SBOMまたはファームウェアをサイエンスパークに送付する。SBOMの用意がない場合は、コンピューター上で動作するバイナリファイルを送付すれば、サイエンスパークがSBOMの作成を代行する。

　診断では、SBOMに記載されているOSSを、CVE（Common Vulnerabilities and Exposures：共通脆弱性識別子）による最新の脆弱性情報と月に一度照合し、リスクをまとめたレポートを提供する。OSSのライセンス違反に関わるリスクについても言及する。サイエンスパーク自身は毎日、脆弱性情報をチェックしており、緊急性やリスクが高い脆弱性を検出した際は即時、通知する。

　CVEは、ベンダーや開発者が報告するIT製品やソフトウェア、OSS などの脆弱性情報をリスト化したデータベース。非営利団体の米CVE Numbering Authorities (CNA)が管理する。OSSに関する脆弱性は、2020年に1万8323件、2023年は2万9066件が報告されている。

　オプションで、SBOMのソフトウェアコンポーネントの脆弱性を診断する「詳細診断」を用意する。IoT機器のソースコードを解析し、CVEの情報を元に診断する。OSS自体に脆弱性があっても、脆弱とされる機能を利用していなければ、IoT機器自身の脆弱性は低いと考えられるためだという。

　サイエンスパークによると、企業のDX（デジタルトランスフォーメーション）への取り組みが進むなか、IoT機器の利用は増加傾向にあり、ファームウェアへOSSの採用が進んでおり、OSSに潜む脆弱性の管理がソフトウェア開発者などの負担になっている。