ソフトウェアのサプライチェーンを可視化しセキュリティリスク管理を強化
株式会社GRCS(本社:東京都千代田区、代表取締役社長:佐々木 慈和、以下 当社)は、当社が開発・提供するサイバーセキュリティリスク管理クラウドサービスの「CSIRT MT.mss」に、SBOM(Software Bill of Materials/ソフトウェア部品表)によるソフトウェア構成情報の管理およびそれを利用した脆弱性管理に対応する機能を追加し提供を開始しました。ソフトウェアの透明性を高めたセキュリティリスク管理の強化に寄与します。
現在、アプリケーションやクラウドサービス、IoT機器に組み込まれるOSS(オープンソースソフトウェア)は増える一方でOSSの脆弱性を狙ったサイバー攻撃リスクが増加しています。OSSに脆弱性が見つかっても利用しているソフトウェアの構成要素や依存関係を把握していないと、対応が後手に回ってしまい影響が拡大してしまう懸念があります。
そこでソフトウェアの構成要素を一覧化したSBOM(※1)を導入し、ソフトウェアのサプライチェーンを把握することで新たな脆弱性に迅速に対処するなどセキュリティ強化に活用する必要が出てきています。SBOMは、2021年5月に発令された米国大統領令でもソフトウェアのサプライチェーンセキュリティ強化のためにその重要性が謳われており、昨今注目を集めています。
このような背景から「CSIRT MT.mss」において、SBOMによるソフトウェア情報管理およびSBOMを利用した脆弱性管理に対応する機能を追加し提供を開始しました。併せて、当社が提供する脆弱性情報日次配信サービス「脆弱性TODAY」の「CSIRT MT.mss」連携専用オプションとして、CPE(Common Platform Enumeration)(※2)情報を配信内容に追加した「脆弱性TODAY SBOM対応版」の提供を開始しました。これにより「CSIRT MT.mss」上でSBOMと脆弱性情報のマッチングが可能となり、脆弱性対応をチケット管理することで個別の対応状況の共有と進捗の可視化が可能となります。
「CSIRT MT.mss」のこれまでのIT資産管理機能では、あるライブラリの脆弱性による影響範囲の特定が困難でしたが、今回のバージョンアップにより使用しているソフトウェアやライブラリの情報がツリー形式のSBOMで登録できるようになり、特定の脆弱性が含まれるシステム・製品の特定が容易になりました。CPE情報が確認できることによりバージョンの違い等による抜け漏れのリスクを低減し、きめ細かい脆弱性監視が可能となります。
今後は、CPEをSBOMに登録することでCPEによるマッチングまでをサポートする予定です。
CSIRT MT.mss 画面イメージ
CSIRT MT.mss URL:https://www.grcs.co.jp/products/csirtmt
脆弱性TODAY URL:https://www.grcs.co.jp/products/z-today
※1 SBOM(Software Bill of Materials/ソフトウェア部品表)
特定のソフトウェア、およびそれらの間のサプライチェーンの関係を構築するために必要なコンポーネント、ライブラリ、モジュールを一覧化したもの
※2 CPE(Common Platform Enumeration)
システムを構成するハードウェア/ソフトウェアなどを識別するためのユニークなID
