SBOM普及の本格化~製品セキュリティにおけるSBOMを使った脆弱性管理~

2022-05-09

製品セキュリティにおける脆弱性管理とその課題

自動車、家電製品、医療機器、防衛装備品、航空宇宙関連機器などの組み込み機器・製品群のIoT化が進んでいます。これに伴い、IoT機器などコネクテッド製品へのサイバーセキュリティ対策を検討する必要がありますが、その際には「研究開発」「製造」「市場利用」「廃棄」の製品ライフサイクル全体を包括したセキュリティプロセスを考える必要があります。特に、ユーザーが所有・利用する製品に対しては、継続的なセキュリティ確保が必要であり、対象製品に影響を与えかねない脆弱性を管理し、適切に対応する必要があります。

脆弱性を管理するには、日々発見・報告される脆弱性情報を収集し、それらが管理対象の製品に関連するかの該否判断をすることが求められます。特に、製品内でオープンソースソフトウェア(以下、OSS)を活用している場合、大量の脆弱性情報が報告されたり、頻繁にアップデートされることで影響を受けるバージョンを把握する必要があったりするなど、該否判断を難しくする要因が増えてきます。

このような脆弱性管理における課題への対応策として注目されているのが、ソフトウェアに含まれるコンポーネントを管理する仕組みであるソフトウェア部品表(SBOM)です。

執筆者

奥山 謙

ディレクター, PwCコンサルティング合同会社

Email

脆弱性管理の実効力を高めるSBOM

11 results
Loading...

ソフトウェアセキュリティリスクに対応するSBOMを企業全体でどう活用するか

SBOMはソフトウェアに含まれる全てのコンポーネントを明確にし、セキュリティの透明性を確保するための基本的なツールです。法規制に基づく導入要求の背景、ソフトウェアサプライチェーンリスクの特性、 SBOM運用の課題、そしてどのようなアプローチが必要になるのかを解説します。

欧州サイバーレジリエンス法~製造業が今すぐに取るべき対策~

欧州サイバーレジリエンス法(CRA)は、デジタル要素を含む製品のサイバーセキュリティを強化するための規則です。対象製品は規則に準拠していることを示すCEマークが必要となります。本稿では、製造業者が対応すべきCRAの法令要件の範囲やCEマーク利用のための適合性評価の流れを解説します。

Loading...

インサイト/ニュース

20 results
Loading...

航空サイバーセキュリティの強化 ―EASA Part-ISが求める情報セキュリティ要件―

航空業界は、航空機や関連システムの高度なデジタル化やグローバルなサプライチェーンによる複雑化が進む中、サイバーセキュリティの重要性がかつてないほど高まっています。こうした背景から欧州航空安全機関(EASA)が2023年10月に制定した、情報セキュリティに関する初の規則となるPart-IS(委員会実施規則(EU) 2023/203および委員会委任規則2022/1645)について解説します。

医薬品の安定供給を支える、OTセキュリティ実装の道筋とは

近年、製造設備などの制御系システムを守るOT(運用技術:Operational Technology)セキュリティの重要性が高まっています。第一三共株式会社でOTセキュリティ強化の活動に従事する江口武志氏に、実際の導入から運用立ち上げをどのように進めたか、現場への浸透における難しさやチャレンジについて聞きました。

Loading...
We unite expertise and tech so you can outthink, outpace and outperform
See how