「SBOM管理システム」の主な特長とは
本システムは、以下の5つの特長を備えています。
- 機密性の高いSBOMデータの安全な管理
製造業など厳格な情報管理が求められる企業でも導入が可能であり、日本語と英語に対応することで、グローバル組織での横断的な活用と継続的な運用を支援します。 - 識別子の自動付与による脆弱性確認業務の効率化
CPE(Common Platform Enumeration)などの識別子を自動で付与し、ソフトウェアと脆弱性情報を正確に紐付けます。これにより、手作業中心だった脆弱性確認業務を効率化し、見逃し防止と継続的なリスク把握を実現。迅速な対応判断を支援します。 - 脆弱性データベースの継続監視と自動通知
脆弱性データベースを継続的に監視し、新たな識別子に基づく影響が判明した際に自動で通知します。既存資産に対する新たなリスクの早期把握を可能にし、オープンソースソフトウェア(OSS)に加え、COTS製品(Commercial Off-The-Shelf:市販の既製ソフトウェア製品)やプロプライエタリソフトウェアにも対応しています。 - セキュリティ管理ツールやITSMツールとの連携
脆弱性検出時の対応優先順位付けや進捗管理を効率化します。PSIRT業務の対応履歴を一元管理することで、継続的な運用の可視化とガバナンス強化を実現します。 - 国際標準の発展をリードする技術と知見の提供
OWASP Foundationへの貢献やSPDX(SBOMを標準的に記述・共有するためのフォーマット)プロジェクトを擁するLinux Foundationでの活動を通じ、国際標準の発展をリードする立場からSBOM運用を支える技術と知見を提供します。
高まるソフトウェアサプライチェーンのセキュリティリスク
ソフトウェアの高度化とサプライチェーンの複雑化が進む中、AIの解析技術の進展により、これまで把握されていなかった脆弱性が明らかになりつつあります。製品やサービスの安全性を支える取り組みとして、SBOMを活用した脆弱性管理の重要性は業種や地域を問わず高まっています。各国・地域における法規制やガイドラインの強化に加え、サイバー攻撃の高度化を背景に、企業にはSBOMの適切な管理と継続的な活用体制の構築が求められています。
特にグローバル企業においては、国内外で一貫したセキュリティ管理とガバナンスの確保が重要な課題とされています。一方で、SBOMは生成ツールや提供元によってフォーマットが異なるため、識別子管理や脆弱性精査に多くの工数を要し、継続的な運用の妨げとなっていました。また、機密性の高い設計情報を含むSBOMの管理では、クラウド利用に慎重な企業も少なくないのが実情です。これらの背景から、SBOMを安全に管理し、国内外の拠点で継続的に活用・運用できる仕組みの整備が求められていました。
同社は、これまで日立グループのOSS活用ガイドライン策定やSBOMを活用した脆弱性管理業務に携わり、経済産業省の実証事業にも参画した実績があります。これらのノウハウを基に、企業が自らの責任でSBOMを活用した継続的な脆弱性対応を可能とし、PSIRTを見据えた体制構築を支援するため、今回のシステムを開発したとしています。
国際標準への貢献と他ツールとの連携
「SBOM管理システム」は、以下のセキュリティ管理ツールやITSM(IT Service Management)ツールとの連携に対応しています。
-
OWASPのセキュリティ管理ツール「Dependency-Track」
https://dependencytrack.org/ -
Atlassian Pty Ltd.のITSMツール「Jira Service Management」
https://www.hitachi-solutions.co.jp/atlassian/jira-service-management/ -
ServiceNow, Inc.のITサービス運用統合管理プラットフォーム「ServiceNow」
https://www.hitachi-solutions.co.jp/servicenow/
日立ソリューションズは、本システムを通じて、お客さまとの協創をベースに、最先端のデジタル技術を用いたソリューションを提供し、持続的に成長可能な社会の実現に貢献していくとしています。
ソース元
- サイバー攻撃の激化と規制強化に対応し、SBOMで脆弱性管理を高度化する新システムを提供
https://www.hitachi-solutions.co.jp/sbom/solution/lineup-tools/sbom-mgmt-system/