SBOM管理システム
ソフトウェア・SBOM管理を実現するPSIRT中核プラットフォーム
SBOM管理システムは、多様な構成情報からSBOMを一元管理します。優れたポリシー管理機能による社内ポリシーの適用と、CPEなどのソフトウェアコンポーネントの識別子設定の効率化によって「脆弱性情報の誤検知・検知漏れ」を極限まで排除します。これにより、脆弱性やライセンスを含む製品リスク管理を実現し、組織や会社を跨いだ迅速かつ正確な PSIRT*1を支える中核プラットフォームとして機能します。
*1 PSIRT =Product Security Incident Response Team.脆弱性インシデント対応をおこなう専門組織、または活動。
このようなお悩みはありませんか?
- 課題
- 解決
-
課題
- 製品の構成情報や自社または他社が作成したSBOMを一元管理して、セキュリティ脆弱性などに関するリスク管理をおこないたい
-
解決
多様なSBOMフォーマットや構成情報をインポートして一元管理し、脆弱性やライセンスなどのリスクを明確にすることで、製品のリスク管理を徹底しておこなえます。
-
課題
- SBOM生成の機能は不要なので、SBOMをインポートしてソフトウェア部品の管理ができるツールがほしい
-
解決
SBOMや製品構成情報をインポートすることで、製品情報の管理・編集機能をご利用いただけます。
-
課題
- ソフトウェア管理における国際ルールや業界標準、法規制などに対応するためにSBOMの管理をはじめたいが、価格的に手ごろなツールが見つからない
-
解決
国際ルールや業界標準、法規制へ準拠したSBOMを適切に管理するための仕組みを提供し、要件への対応に必要な情報整備を効率化します。
概要
SBOM管理システム とは
SBOM管理システムは、製品の構成情報やSBOM*2を一元管理し、ソフトウェアと脆弱性情報を自動で紐付けることで、リスクへの迅速な対応を可能にするプラットフォームです。ソフトウェアサプライチェーンの可視化と継続的なリスク把握を実現し、PSIRT主導による製品セキュリティ運用の高度化に貢献します。
*2 SBOM = Software Bill of Materials(ソフトウェア部品表)
SBOM管理システムの位置づけ
本製品は、PSIRTが主導する脆弱性管理プロセスにおいて、SBOMの蓄積・編集・脆弱性特定を担うプラットフォームです。外部ツール連携による対応優先付けや対処管理の効率化を通じて運用負荷を低減し、SBOMを単なる「部品管理」から、検出・評価・対応を統合した「実運用」へと進化させます。セキュリティを担保した開発と製品管理を全社で実現することで、PSIRTを中核とした製品セキュリティ体制の確立と、継続的な安全性の確保に寄与します。
なぜSBOM管理システムが選ばれるのか
SBOM・OSS管理の分野において15年以上の経験と実績を誇る日立ソリューションズが開発した製品です。
The Linux Foundation(SPDX、OpenChain)やOWASP FoundationといったSBOM領域の主要コミュニティに加え、経済産業省およびIPAのSBOMに関するガイド策定にも携わったチームが監修した製品です。
日立製作所の研究所が開発した独自技術「脆弱性検索エンジン」を活用した脆弱性管理を実現します。
特長
製品構成情報(SBOM含む)の蓄積
SBOMは手動作成からツール生成まで作成方法が多様で、表現フォーマットも複数存在するため管理が煩雑になりやすいです。SBOM管理システムは SPDX・CycloneDXといった標準SBOM形式にくわえ、お客さま独自のExcel様式などに対応しており、フォーマットの違いによる管理課題を解消します。さらに、SBOMがまだ用意できていない場合でも、すでに整理済みの製品構成情報を転記して製品の構成管理をおこなうことが可能です。
製品構成情報の補完・編集
ソフトウェア管理における国際ルールや業界標準、法規制などでは、SBOMに含めるべき必須項目などを設けていることがあります。作成されたSBOMや製品構成情報に必須項目が含まれていない場合、本システムで足りない項目に関する情報を補完することが可能です。識別子(CPEなど)の自動付与によりソフトウェアと脆弱性情報を正確に紐付け、手作業中心だった脆弱性確認業務を効率化します。脆弱性情報の誤検知・検知漏れの防止と継続的なリスク把握を実現し、迅速な対応判断を支援します。
脆弱性などリスクの特定
本製品は、登録されたソフトウェアの脆弱性情報を特定するとともに、ライセンス違反のリスクを検知します。特定された脆弱性に対して、CVSS*3やEPSS*4といった優先度判定に役立つ指標を活用して効率的な管理・運用がおこなえます。また、脆弱性データベースの継続監視により、新たな識別子による影響を検知した際は自動で通知。既存資産の新リスクを早期把握できます。さらに、NVDなどの公開情報や業界・企業独自のクローズドの脆弱性情報の集約や、オープンソースソフトウェア(OSS)以外のCOTS製品やプロプライエタリソフトウェアの脆弱性監視までおこなえます。
*3 CVSS = Common Vulnerability Scoring System(共通脆弱性評価システム)
*4 EPSS = Exploit Prediction Scoring System(悪用予測スコアリングシステム)
多様なツール連携
SCA*5ツールとの連携
SBOMには、複数の標準フォーマットがあるほか、SBOM生成ツールごとの特性による差分などの影響で、一元管理することが難しいという課題がありました。本システムでは、異なるツールで作成したさまざまな形式のSBOMを、ひとつのプラットフォームで一元管理することができ、SBOM情報や脆弱性情報の共有とスムーズな連携が可能になります。
*5 SCA = Software Composition Analysis(ソフトウェアコンポジション解析)
Jira Service Managementとのネイティブ統合
ITサービス管理ツール「Jira Service Management」との連携を通して、PSIRTで必須となる脆弱性情報の対処・インシデント管理のワークフローを実現します。
アラート発生から対応アサイン、修正完了までのステータスを徹底管理し、脆弱性・インシデント対応のリードタイムを劇的に短縮します。
脆弱性の対応優先付けを支援するサービスとの連携
脆弱性対応の優先度付けにおいて「影響度や自組織へのリスクが判断しづらい」「攻撃動向や関連情報の収集に時間がかかる」といった課題を抱えていませんでしょうか。
日立ソリューションズ開発の「脆弱性調査支援サービス」や日立製作所開発の「脆弱性分析サービス」を活用することで、脆弱性特定後の対応優先付けの効率化を実現することが可能になります。「脆弱性分析サービス」は技術的影響や資産へのインパクトを定量的に可視化し、「脆弱性調査支援サービス」で攻撃実績や関連情報を迅速に収集・統合することで、限られたリソースでも対応すべき脆弱性を正確かつ効率的に選別できるようになります。
