サイバーインテリジェンス セキュリティマネジメント Summit
2025 Winter
Cloudbase

情報を自動で集めてSBOMを生成する
SBOMによる脆弱性管理の新手法

現代のアプリケーション開発は、社外のサプライチェーンに大きく依存している。もし、外部から提供されたコンポーネントや利用しているOSSに脆弱性が含まれていた場合、自社の製品やビジネスに甚大な影響が及ぶ。そこで重要性が高まっているのがSBOM(ソフトウエア部品表)を用いた脆弱性管理だ。Cloudbaseは、あらゆる資産情報を収集し、SBOMとして可視化するソリューションによって脆弱性への的確な対処を支援している。

  • ソフトウエアの
  • 脆弱性管理に欠かせないSBOM

TOPへ
Cloudbase株式会社 テクノロジー本部 VPoE室 プロダクトマネージャー 大峠 和基氏
Cloudbase株式会社
テクノロジー本部 VPoE室
プロダクトマネージャー
大峠 和基
 様々な分野が存在する情報セキュリティーの中でも、重要なものの1つが脆弱性管理である。いくら入口・出口対策や内部監視を強化しても、肝心のアプリケーション自体に脆弱性が含まれていたのではどうにもならない。システムの稼働停止、不正アクセスによる情報漏洩などのリスクを軽減するためにも、自社システムや開発・提供する製品の脆弱性はしっかり管理しておきたいところだ。

 とはいえ、一口に脆弱性管理といっても、的確に実施するのは生易しいことではない。Cloudbaseの大峠 和基氏は、その理由として現代のアプリケーション開発における複雑なサプライチェーン依存を挙げる。

 「アプリケーション開発の現場では、委託先が開発したコンポーネントや商用のソフトウエアなど、自社以外で開発された様々なプログラムが使われています。また、それらのプログラムにも、サードパーティ製のSDKやライブラリモジュール、OSSなどが使われています。このような複雑な依存関係があるため、仮に新たな脆弱性が発見されても、それが最終製品のどこに影響を及ぼすかを調べるのが非常に難しいのです」(大峠氏)

 そこで今、企業・組織の注目を集めているのがSBOM(ソフトウエア部品表)である。その名の通りソフトウエアの構成部品をリストアップした一覧表のことで、コンポーネントの名前やバージョン番号が記載されているほか、部品間の依存関係が分かるようになっている。

 SBOMを使うことで脆弱性管理が容易になる(図1)。例えば、あるコンポーネントに脆弱性が確認された場合、そのコンポーネントが自社製品のどこに使われているかを速やかに検索して特定できる。これにより、影響範囲の把握やインシデント対応を、迅速・的確に行えるようになるのだ。
図1 SBOMによる可視化が必要な理由とは 図1SBOMによる可視化が必要な理由とは SBOMがなければ、脆弱性の所在をすぐに突き止められず対応が後手に回ってしまう。アプリケーションに内在するリスクを放置しておけば、企業の信用失墜を招く可能性もあるだろう

  • サプライチェーンを含めた
  • 脆弱性管理が必須

 「現在の攻撃者は、ソフトウエアを提供するメーカーそのものだけではなく、そのサプライチェーンを構成する企業や外部サービス、さらには利用しているOSSなど、あらゆる要素を標的にしてきます。理由は、サプライチェーンに含まれる企業やOSSプロジェクトの中には、メーカーが要請するレベルのセキュリティー対策を実現できていないケースが多いこと、そして、より基盤に近いコンポーネントを侵害するほうが、攻撃のインパクトを大きくできることからです」と大峠氏は述べる。

 メーカーは当然、社内のセキュリティーに細心の注意を払っている。作成したアプリケーションの脆弱性検査を実施している企業も多いだろう。しかし、使用しているコンポーネントの開発委託先やOSSコミュニティーなどに対してまで、同じような体制を敷くことは難しい。そこが攻撃者の狙い目になっている。

 また、多くのアプリケーションで使われるプログラムにマルウエアを仕込んでおけば、これを無差別にばらまくことが可能になる。例えば、ある便利ライブラリに脅威を潜ませたとしよう。このライブラリは別のライブラリやフレームワーク、プログラミング言語などに使われ、最終的にそれらを利用する無数のエンドユーザー企業へと波及する。たった1回の攻撃で、数千万、数億という企業に影響を与えられるのだ。

 「実際に、2024年の『XZ Utils』バックドア事件や、2025年に発生したnpmパッケージへの大規模攻撃など、一つ間違えれば深刻な社会問題になっていたインシデントも発生しています。現代のアプリケーション開発において、サプライチェーンに依存しないことは不可能です。SBOMを使って、サプライチェーンを含めた徹底した脆弱性管理を行うことが急務となっています」と大峠氏は強調する。

  • SBOMの作成から
  • 脆弱性対応までをトータルに支援

 ただし、SBOMを用いた脆弱性管理には弱点もある。SBOM自体を作成するのが難しいことはその1つだ。自社製品が使っているコンポーネントやライブラリ、OSSなどをすべて洗い出し、リストアップする作業に多くの手間と時間がかかる。リストが不完全では、網羅的な脆弱性管理を実行することはできないだろう。

 また、仮にSBOMは作成できても、それを使いこなすには工夫がいる。「実際の運用ではSBOMと最新の脆弱性データベースを照合し、該当するコンポーネントなどを可視化して対処します。ところが、照合結果は膨大に出るため、対処の優先順位付けに迷うことが多くあります。重要なリスクを見落としてしまうことも少なくありません」と大峠氏は言う。

 そこで同社が、このような課題を解消するソリューションとして提供するのが、「Cloudbase」だ。「特定」「優先順位付け」「情報共有」「対応」という脆弱性管理の4ステップをトータルにカバーするSBOM脆弱性管理ソリューションである(図2)。
図2 SBOM脆弱性管理ソリューション「Cloudbase」 図2SBOM脆弱性管理ソリューション「Cloudbase」 あらゆるシステム資産を自動的にスキャンしてSBOMを生成する。リスクの検出と対応の優先順位付け、対処までをトータルに支援する
 「パブリッククラウドやオンプレミス上に存在するシステムのOS、ミドルウエア、開発パッケージなどを網羅的にスキャンして、自動的にSBOMを生成します。エージェントレス型のため導入工数も抑えられます。課題となるSBOM作成の手間を大きく削減することが可能です」と大峠氏は説明する。

 また、Cloudbaseが力を入れているのが優先順位付けだ。CVE(共通脆弱性識別子)やCVSS(共通脆弱性評価システム)といった一般的な情報に加えて、「実際に悪用されたことがあるか」「その資産の重要度は」「資産がインターネットに露出しているか」といった情報も集めて複合的に対応優先度を評価する。

 「この手法はSSVC(Stakeholder-Specific Vulnerability Categorization)と呼ばれ、近年、新たな脆弱性の評価手法として注目されています。Cloudbaseは、このSSVCによる評価も完全に自動で行うことが可能です」と大峠氏は続ける。

 これにより、対応すべき脆弱性を迅速・高精度に絞り込むことが可能になる。同社が行った実証では、総数50万件の脆弱性に対し、「即時対応すべき」ものを0.01%の55件まで絞り込むことができたという。

 加えて、検出したリスクへの対応方針の共有、作業実施者への連絡・指示などもCloudbase上で一元的に行える。一部の脆弱性については、リスク修復の方法や手順を詳しく紹介してくれる機能も搭載しているという。

 SBOMの作成から活用、迅速・的確なリスク対応まで、脆弱性管理の一連のプロセスをサポートするCloudbaseは、脆弱性管理に悩む企業にとって大きな助けになるものといえそうだ。
関連リンク
お問い合わせ
Cloudbase株式会社 URL:https://cloudbase.ink/
PAGETOP