SBOMなどの可視化データ活用知見を共創「セキュリティ透明性確保に向けた可視化データ活用～脆弱性管理編～」をセキュリティ・トランスペアレンシー・コンソーシアムが公表

　サプライチェーンセキュリティリスクの低減を目的とする「セキュリティ・トランスペアレンシー・コンソーシアム（Security Transparency Consortium、会長：情報セキュリティ大学院大学　後藤厚宏、以下　「本コンソーシアム」）」※1のワーキンググループにおいて、日本電信電話株式会社および日本電気株式会社を主査、副主査とし多様な事業者で構成される14社※2が、2024年2月に公表した活動ビジョン「セキュリティ透明性の向上と活用に向けて」※3のもと、SBOM※4などの可視化データ※5を利用する際に「つかう側」が直面する問題・課題解決に取り組んでいます。
　この度、脆弱性管理に可視化データを活用する場合の具体例として、脆弱性の特定や優先付けなどに可視化データを「つかう側」が直面する問題・課題に対処するための知見を共創し、本コンソーシアムの活動成果として「セキュリティ透明性確保に向けた可視化データ活用～脆弱性管理編～」を公表しました。これは可視化データを「つかう側」「つくる側」双方の多様な事業者が共創し、可視化データの脆弱性管理活用に関する国内初の公表事例であり、従来「つくる側」に偏りがちだった可視化データ活用に、「つかう側」の視点も取り入れた知見です。これから脆弱性管理に可視化データの活用を検討しようとしている様々な業界の事業者に役立つことが期待されます。

1．背景と目的
　製品・システム・サービスに対する「サプライチェーンセキュリティリスク」に対処するために、製品・システム・サービスの透明性を確保するSBOMなどの可視化データが注目されております。経済産業省は、2024年8月29日に、「ソフトウェア管理に向けたSBOM（Software Bill of Materials）の導入に関する手引ver2.0」を公表し、SBOMの導入促進に取り組んでいます。一方、SBOMの活用法に関しては、医療業界や自動車業界を中心とした検討が行われており、今後も様々なユースケースでの活用が期待されています。
　そうした中で可視化データを実際に活用するためには様々な問題・課題も存在し、具体的なユースケースに基づいた対処策が強く求められております。本コンソーシアムにおいても、可視化データ活用に関して、「つかう側」が直面する問題・課題を整理し、対処するための活動方針を定めた活動ビジョンを2024年2月に公表しました。脆弱性管理での可視化データ活用は非常に期待されているユースケースであり、上記問題・課題の対処は、1社では解決できないものが多く含まれるため、多様な事業者の協調による知見創出が必要となります。
　　　
2．「セキュリティ透明性確保に向けた可視化データ活用～脆弱性管理編～」の概要
　本コンソーシアムでは、活動ビジョンで提起した問題・課題について、可視化データの活用が最も期待されているユースケースの一つである脆弱性管理を対象とした具現化を行い、対処するための知見を共創しましたので、本コンソーシアムの活動成果「セキュリティ透明性確保に向けた可視化データ活用～脆弱性管理編～」としてウェブサイト※3にて公表しました。概要を活動ビジョンで提起した問題・課題に沿って以下に示します。