脆弱性開示ポリシーと報奨金制度 ―脆弱性報告窓口運用におけるリスクと企業がとるべき戦略―
昨今の製品セキュリティを取り巻く規制や制度への対応に伴い、企業では脆弱性開示ポリシーの整備が進んでいます。脆弱性を迅速かつ効果的に修正し運用するための、脆弱性を発見した報告者と企業との協力関係の構築と、報告者に対して企業が支払う報奨金制度の活用について解説します。
PwCコンサルティング合同会社と日本シノプシス合同会社は2024年3月、製造業におけるソフトウェアサプライチェーン管理としてソフトウェア部品表(SBOM:Software Bill Of Materials)を意識している日本企業を対象に、セキュリティ対策状況に関する調査を実施しました。
本稿では調査結果を基に、企業のソフトウェアサプライチェーンに対する取り組みの現状と今後求められるセキュリティ活動について考察します。
SBOMに関する詳細な分析、今後の対策に関しては、PDFに掲載しています。こちらからダウンロードしてご確認ください。
図表1:調査概要
| 目的 | 製造業におけるソフトウェアサプライチェーンに関するセキュリティ対応状況を概観する。 製造業におけるソフトウェアサプライチェーン管理としてSBOMを意識している方へ有益な参考情報を提供する。 |
| 調査方法 | ウェブによるアンケート |
| 調査対象 | 製造業におけるソフトウェアサプライチェーン管理としてSBOMを意識している日本企業の以下の部門に所属する方々
|
| 調査項目例 |
|
| 調査期間 | 2024年3月 |
| 調査数 | 300名 |
進みつつある製品セキュリティに関する海外の法規制への対応
はじめに、製品セキュリティにおいて注目度の高い以下の法規制の対象となる企業の対応状況を調査しました。
- 日本 電気通信事業法 技術適合要件におけるセキュリティ要件
- 米国 カリフォルニア州法 Senate Bill No. 327
- 英国 Product Security and Telecommunication Infrastructure Act(PSTI法)
- EU Cyber Resilience Act(CRA)
- EU Radio Equipment Directive(RED)におけるセキュリティ要件
- International Medical Device Regulators Forum(IMDRF)
- 米国 Food and Drug Administration(FDA) Medical Device Cybersecurity Guidance
- WP29 UNR-155/156
- 米国 NHTSA Cybersecurity Best Practices for the Safety of Modern Vehicles (2022)
- ETSI EN 303 645
- 米国 Cyber Trust Mark(案)
- 米国 CISA Secure Software Self-Attestation Common Form
- シンガポール Cybersecurity Labeling Scheme(CLS)
- ISA Secure CSA Certification(IEC 62443-4-1, 4-2)
PSTI法、CRA、REDに関する各企業の対応状況
各法規制の中でも、特に発行目前となる欧州のPSTI法、CRA、REDに関する回答結果を見てみましょう。現在所属する企業において英国に向けてデジタル製品を提供していると答えた95人のうち、22人はPSTI法に全社対応済みと回答しました。EUに向けてデジタル製品を提供していると答えた110人のうち、30人はCRAに全社対応済みと回答し、28人はREDに全社対応済みと回答しました。
このことから、SBOMへの関心が高く、かつ欧州デジタル製品を提供していると答えた回答者が所属する企業においては、4分の1程度が関連する法規制への対応が完了していることが分かりました。一方で、図表2のように、PSTI法に関しては半数以上が対応未完了の状態となっており、CRA、REDに関しては半数近くが対応未完了でした。また、1割程度の回答者は、欧州にデジタル製品を提供しているにもかかわらず、関連する法規を知らないという状況です。
また、図表3と図表4の分布を比較すると、CRAおよびREDへの対応状況が類似している企業に所属している回答者が多いことが分かります。これは、SBOMに対して感度が高い企業は、将来的にRED要件はCRA要件によって委任規制され、修正あるいは廃止される可能性があることを理解しており、2つの法規制への対応を同時進行で進めていると考えられます。
日本の製造業全体に対して弊社が2023年10月に行った調査(日本企業の欧州サイバーレジリエンス法対応実態調査~SBOM活用状況と活用に向けた課題では、CRAの認知率が1割程度だったことを踏まえると、SBOMへの関心が高い企業では、製品セキュリティに対する各法規制への対応が進みつつあることがうかがえますが、対応が完了していない企業も依然として多い状況に変わりはありませんでした。
図表5に見られるように、各法規で対応未完了と答えた回答者の中で、法規自体は把握しているものの、対応計画すら立っていない回答者が3〜4割程度でした。その中でもREDへの対応計画が未策定と答えた回答者の割合が最も高い結果となりました。
SBOMへの対応はまだまだ発展途上
SBOMへの期待と現実のギャップ
実際に組織としてSBOMをどのように活用しているかについて調査した結果多くの回答者が下記の項目を挙げました。このことから、さまざまな業務においてSBOMの活用が進んでいることがうかがえます。
- 自社製品の効率的なリスク・脅威分析
- 脅威分析、サプライチェーンのリスク管理
- 開発した製品の脆弱性管理
- オープンソースソフトウェア(OSS)ライセンス管理
- IT資産管理
- 国内外市場での規制対応
※本調査は日本シノプシス合同会社との共同執筆です。下記のメンバーにご協力いただきました。
日本シノプシス合同会社
シニア・テクニカル・マーケティング・マネージャー
松岡 正人氏
SBOMに関する詳細な分析、今後の対策に関しては、PDFに掲載しています。ぜひダウンロードしてご確認ください。
全文PDF版のダウンロードはこちら ※登録が必要です
PSIRTが認知すべき海外法規制解説
27 results
Loading...
中国ネットワークデータセキュリティ条例の概説――中国サイバー三法のアップデート
2025年1月1日から施行されている中国ネットワークデータセキュリティ条例では、中国サイバーセキュリティ法、データセキュリティ法、個人情報保護法の法執行の度合いを調整・明確化しており、中国で事業を展開する企業にとって注目すべき内容となっています。本稿では同条例の規定内容を解説します。
ソフトウェアセキュリティリスクに対応するSBOMを企業全体でどう活用するか
SBOMはソフトウェアに含まれる全てのコンポーネントを明確にし、セキュリティの透明性を確保するための基本的なツールです。法規制に基づく導入要求の背景、ソフトウェアサプライチェーンリスクの特性、 SBOM運用の課題、そしてどのようなアプローチが必要になるのかを解説します。
オーストラリアサイバーセキュリティ法 ―製造業者がこれから取るべき対策―
オーストラリアサイバーセキュリティ法では、製品セキュリティにかかるセキュリティスタンダードへの準拠義務や身代金支払い報告義務などが定められています。製造業者や販売者の義務と、対応を効率化するためのアプローチについて解説します。
Loading...
インサイト/ニュース
20 results
Loading...
Download PDF -
医薬品の安定供給を支える、OTセキュリティ実装の道筋とは
近年、製造設備などの制御系システムを守るOT(運用技術:Operational Technology)セキュリティの重要性が高まっています。第一三共株式会社でOTセキュリティ強化の活動に従事する江口武志氏に、実際の導入から運用立ち上げをどのように進めたか、現場への浸透における難しさやチャレンジについて聞きました。
Download PDF -
事業のグローバル化からみるサイバー・物理セキュリティ強化の必要性
本海外規格や国内外のガイドラインを踏まえて、日本企業が国際水準の物理セキュリティを整備する必要性を解説し、実際にどのように「物理セキュリティペネトレーションテスト」を導入・活用できるかをご紹介します。
Download PDF -
望ましいサイバーセキュリティの未来(銀行業界編)
スイス連邦財務省国際金融問題局の独立調査ユニットであるSwiss Financial Innovation Deskが発行した「Pathway 2035 for Financial Innovation」レポートを基に、銀行業界のサイバーセキュリティ戦略におけるAI、耐量子、デジタルトラスト、デジタル通貨のテーマ別に、それぞれの未来予測とサイバーリスク、望ましい対応策を整理します。
Download PDF -
IEC 62443シリーズの概要と近年の動向
IEC 62443シリーズは、OT環境のセキュリティを確保するための推奨事項を規定した国際標準規格です。IEC 62443シリーズの概要と活用するメリット、関連する認証制度とその動向について解説します。
Loading...
