日立ソリューションズ、SBOM管理システムを提供開始 脆弱性管理を自動化し運用負荷を軽減

日立ソリューションズは、ソフトウェアサプライチェーンのセキュリティリスクを継続的に管理する「SBOM管理システム」の提供を開始した。SBOM(ソフトウェア部品表)を一元管理し、識別子の自動付与や脆弱性の継続監視を通じて、人手に依存していた脆弱性管理業務の効率化を図る。
近年はAIによる解析技術の進展に伴い、これまで見逃されていた脆弱性が明らかになるケースが増加しており、EUのサイバーレジリエンス法(CRA)への対応を含め、ソフトウェア構成の可視化と継続的な脆弱性管理の重要性が高まっている。一方、SBOMは生成ツールやサプライヤーごとにフォーマットが異なるため、識別子の管理や脆弱性の確認に多くの工数を要することが課題となっていた。
新システムは、機密性の高いSBOMデータを安全に管理できる環境を提供し、日本語と英語の2言語に対応。CPEなどの標準識別子を自動付与することで、ソフトウェアと脆弱性情報を正確にひも付け、確認作業を効率化する。
また、脆弱性データベースを継続的に監視し、新たな脆弱性が判明した場合は自動通知する機能を搭載。オープンソースソフトウェア(OSS)に加え、市販ソフトウェアやプロプライエタリソフトウェアにも対応する。
さらに、OWASPの「Dependency-Track」、Atlassianの「Jira Service Management」、ServiceNowと連携し、脆弱性対応の優先順位付けや進捗管理、対応履歴の一元管理を実現。セキュリティガバナンスの強化を支援する。
同社は島津製作所とヤマハとの実証を通じて、脆弱性管理業務の工数削減や運用効率化に有効性を確認しており、今後は日立グループと連携し、日系企業の海外拠点を含めたセキュリティガバナンス強化を支援していく。
引用元記事:



