SBOMなどの可視化データ活用知見を共創「セキュリティ透明性確保に向けた可視化データ活用～脆弱性管理編～」をセキュリティ・トランスペアレンシー・コンソーシアムが公表

（1）フォーマット・データ
　SBOMなどの可視化データは、複数の標準仕様が存在し、生成ツールの出力内容にバラつきがみられます。そのため、脆弱性管理において、対応すべき脆弱性を正しく特定できないリスクがあります。対応すべき脆弱性を特定するためには、可視化データの品質を正しく評価する必要があり、可視化データの評価指標に関する知見を示します。
（2）技術・ツール
　可視化データに対応する多様な技術・ツールが既に利用可能になっていますが、脆弱性管理においては十分といえない状況があります。可視化データを「つかう側」がうまく使いこなすための知見を示します。
（3）活用コスト
　「つかう側」が脆弱性管理に可視化データを活用するためには、人材育成により、可視化データの活用方法を理解することが急務となり、そのコスト負担が必要となります。「つかう側」が可視化データを理解し、脆弱性管理を活用するために必要な教育についての知見を示します。
（4）継続的な活用
　脆弱性管理が可視化データ活用以前から行われていると、可視化データ活用導入を一度に完了できない場合があります。既存の脆弱性管理の仕組みに可視化データの活用を段階的に浸透させていくための知見を示します。　
（5）サプライチェーン上の調整
　製品・サービス・システムのサプライチェーンは多段構成であることが多く、脆弱性が発生した場合には、個別企業などの単一組織内に留まらず、組織を越えた相互協力が必要となります。サプライチェーン上の組織間での相互協力や合意形成に関する知見を示します。
（6）可視化データがもたらす影響
　可視化データの脆弱性管理における活用が浸透し、セキュリティの透明性が高まると大量の脆弱性が検出され、従来は対処の必要がなかった事象についても、対処の判断を求められるケースが増加します。そのため検出された脆弱性に対し適切に評価・優先付けを行うための指標を示します。

　本コンソーシアムの活動成果は、SBOMなどの可視化データの活用開始直後、もしくは可視化データ活用の検討時期に多くの事業者が直面する問題・課題解決に向けて、具体的なユースケースである脆弱性管理を対象にして多様な事業者が協調して取り組んだ内容をまとめた、国内初の公表事例です。本事例を活用することで、脆弱性管理でのセキュリティの透明性が高まり、様々な業界でのサプライチェーンセキュリティリスクの低減が期待されます。今後脆弱性管理以外の可視化データ活用を推進していく上での参考事例にもなります。