サイバーセキュリティクラウド、脆弱性管理ツールにSBOM管理機能追加

グローバルセキュリティーメーカーのセイバーセキュリティクラウド（東京・品川区）はこのほど、脆弱（ぜいじゃく）性管理ツール「SIDfm VM」に、SBOM（エスボム）管理機能を追加したと発表した。医療機器メーカー、医療機関での利用を見込む。

「SBOM」はソフトウエアの構成を一覧化し脆弱性を管理するソフトウエアの管理手法1つ。SBOM導入サポートや作成ツールを提供する企業は複数あるが、OSS（オープンソースソウトウエア）などで、新たな脆弱性が報告された場合の対処プロセスが複雑化しており、効果的な脆弱性管理を実現したいというニーズが高まっている。

脆弱性情報収集・管理ツール「SIDfm」は、世界中のOS（基本ソフト）やアプリケーション、ネットワーク製品の脆弱性情報を自動で収集・蓄積することで得た情報から脆弱性と対策内容を示し、脆弱性の対処進捗管理まで行うことが可能なツール。

最大の特長は、コンテンツの質で、「NV」「KEV」などのメタデータとベンダーのアドバイザリー情報、「JVN」などの情報をセキュリティーアナリストが専門家視点で読み解きリスク評価し「独自指標」「日本語の解説」を付加した脆弱性情報を提供する。

新機能のSBOM管理機能は、脆弱性情報収集・管理ツール「SIDfm」に、SBOMのインポート機能を追加し、ホストの構造情報とひもづけることで、管理解消ホスト単位でSBOMのインポート状況を可視化が可能。また、インポートされたSBOMを自動で脆弱性データベースとの照合用データに変換することで、脆弱性を早期に検出できる。そのほか、「SIDfm VM」のカスタムカテゴリやルール設定機能を利用することで、ホスト構造情報とひもづけて対象者に必要な情報だけを自動で連絡することも可能。

医療機器メーカーは、薬機法の基本要件基準への対応で活用できる。具体的には、納品機器バージョンごとのSBOM管理や、リポジトリ―（ソフトエウエア本体のコード）ごとの脆弱性の検出や通知、検出した脆弱性の影響を日本語や数値で、すぐに理解することが可能になる。医療機関は、提供されるSBOMに対する脆弱性の有無を確認や、検出した脆弱性の影響度合いを日本語や数値で可視化、脆弱性を含む対象機器の特定できる。