日本電気株式会社(以下、NTT)は、幹事事業者として、コンソーシアムサプライチェーンセキュリティリスクの低減を目的とする「セキュリティ・トランスペアレンシー・コンソーシアム」を2023年9月に発足した。
このワーキンググループでは、NTTおよび日本電気株式会社(以下、NEC)を主査、副主査とし、多様な事業者で構成される14社が、2024年2月に公表した活動ビジョン「セキュリティ透明性の向上と活用に向けて」のもと、製品に含まれるソフトウェア部品を一覧化するためのデータ形式である「SBOM」などの可視化データ(※)を利用する際に「つかう側」が直面する問題・課題解決に取り組んでいる。
※サプライチェーンにおいて事業者間で授受される製品、システム、サービスなどのソフトウェアやハードウェアの構成や状態、リスクの情報を可視化したデータ
今回、脆弱性管理に可視化データを活用する場合の具体例として、脆弱性の特定や優先付けなどに可視化データを「つかう側」が直面する問題・課題に対処するための知見を共創し、同コンソーシアムの活動成果として「セキュリティ透明性確保に向けた可視化データ活用~脆弱性管理編~」を公表した。
これは、可視化データを「つかう側」「つくる側」双方の多様な事業者が共創し、可視化データの脆弱性管理活用に関する公表事例であり、従来「つくる側」に偏りがちだった可視化データ活用に、「つかう側」の視点も取り入れた知見だ。
可視化データ活用における8つの問題・課題をまとめ、これに対して、可視化データの評価指標に関する知見を示したフォーマット・データや、可視化データを「つかう側」がうまく使いこなすための技術・ツール、可視化データがもたらす影響などが記載されている。
これにより、これから脆弱性管理に可視化データの活用を検討しようとしている様々な業界の事業者に役立つことが期待されている。
今後同コンソーシアムでは、引き続き、多様な事業者の協調的な取り組みによって、可視化データ活用における問題・課題の対処策を共創していくとしている。
また、対象ユースケースも脆弱性管理にかかわらずに「セキュリティ透明性確保に向けた可視化データ活用」としてとりまとめ、同コンソーシアムのウェブサイトにて、2025年以降、順次公表していく予定だ。
さらに、同コンソーシアムの参加事業者の拡大にも取り組んでおり、さらなる募集をウェブサイトにて実施中とのことだ。
無料メルマガ会員に登録しませんか?
IoTに関する様々な情報を取材し、皆様にお届けいたします。