サイバーセキュリティクラウド、脆弱性管理ツール『SIDfm VM』に「SBOM管理機能」を新たに追加

グローバルセキュリティメーカーの株式会社サイバーセキュリティクラウド（本社：東京都品川区、代表取締役社長 兼CEO：小池 敏弘、以下「当社」）が脆弱性管理ツール 『SIDfm VM
（エスアイディーエフエム ヴイエム）』に新機能として「SBOM管理機能」を追加したことをお知らせします。


[画像1]https://digitalpr.jp/simg/2575/92086/700_368_20240722174948669e1d2caa455.png


■開発背景
サプライチェーンの弱点を悪用したサイバー攻撃による被害が増加している背景を受け、世界および国内で様々な取り組みが進められています。米国では2021年5月にサイバーセキュリティ強化のための大統領令が発令され、SBOM（Software Bill of Materials）作成の指示が出されました。日本では経済産業省が2023年7月に「ソフトウェア管理に向けたSBOMの導入に関する手引」を公開しました。これらの取り組みにより、SBOMの導入サポートや生成ツールが多く登場し、SBOMを導入する企業が徐々に増加しています。
SBOMはサプライチェーンの透明性を高めるために活用され、特に脆弱性管理の分野での利用が期待されています。ソフトウェア提供者および利用者は、自社が提供または利用しているソフトウェアを構成するOSS（オープンソースソフトウェア）などの要素を含めたSBOMを活用し、効果的な脆弱性管理を実現したいというニーズが高まっています。
SBOMの導入サポートや作成ツールは多く存在し、ソフトウェア提供者が利用者に対してSBOMを納品することは比較的容易になってきています。しかしその一方で、効果的な脆弱性管理を実施するためには、SBOMに記述されているOSSなどに新たな脆弱性が報告された場合に迅速に気づき、適切に対処する必要があります。SBOM導入前と比べて管理対象のソフトウェアが増えることから、脆弱性情報の収集と対処判断の効率化がより一層求められます。
さらに、対処プロセスも複雑化しています。SBOMが納品された製品ごと（場合によってはバージョンごと）に、サプライチェーンに対するコミュニケーションや対処状況の管理、製品のアップデートまでの暫定対処などが必要となり、組織的な取り組みが求められます。

■新機能「SBOM管理機能」とは
脆弱性管理を一元化できる「SIDfm VM」に、SBOMのファイルをインポートできる機能を追加しました。これにより、ホストの構成情報と紐づけることで管理対象ホスト単位でSBOMをインポートしているかどうかが一目で確認できます。また、インポートされたSBOMを、自動で脆弱性データベースとの照合用データに変換し、脆弱性を早期に検出することが可能になりました。
さらに、ホストの構成情報として紐づけることで、「SIDfm VM」のカスタムカテゴリやルール設定機能を用いて、必要な担当者に必要な情報のみを自動で連携することも可能となりました。
これにより、セキュリティ管理者は各担当者やサプライチェーンの対処状況を、SBOM以外でも管理しているホストの脆弱性と合わせて一元的に把握することができます。