【脆弱性管理クラウド「yamory」登壇レポート】日本におけるソフトウェアサプライチェーンとSBOMのこれから

この記事は約5分で読めます。
Visionalグループが運営する脆弱性管理クラウド「yamory(ヤモリー)」(https://yamory.io/ 以下、yamory)のプロダクト責任者 鈴木 康弘が、Software ISAC OSS委員会 副委員長に任命され、特定非営利活動法人日本ネットワークセキュリティ協会(事務局:東京都港区/会長:江﨑 浩/以下、JNSA)調査研究部会 IoTセキュリティワーキンググループが主催する「日本におけるソフトウェアサプライチェーンとSBOMのこれから」(2023年8月25日開催)に登壇いたしました。この度、当日の登壇レポートを公開いたします。

  • 「日本におけるソフトウェアサプライチェーンとSBOMのこれから」開催趣旨

2021年5月に発令された米国大統領令では、連邦政府内で使用される製品やサービスに対するサイバーセキュリティの新たなガイダンスが示され、ソフトウェア・サプライチェーンというコンセプトが取り入れられました。これは、製品やサービスが内包するソフトウェア・コンポーネントを可視化して脆弱性などのリスクを管理することでサイバーセキュリティ・リスクの低減を目指しており、ソフトウェア部品表(SBOM)による管理が明示されています。 OMB(合衆国行政管理予算局)はGSA(連邦政府一般調達局)と共に、連邦政府組織に対し、NISTとCISAのガイドラインに即した製品やサービスの調達を指示し、今後調達基準に準じて証明書やSBOMの提出が求められることとなります。一方、医療機器や自動車などの業界では国際規格に準じた規制が始まろうとしているという状況です。 

日本国内も業界毎に国際標準に準じたガイドラインの作成が進められており、SBOMによるソフトウェア・サプライチェーン管理は待ったなしとの状況といえます。

今回は、経産省と「自動車」「医療機器」「ソフトウェア」の各業界の有識者により、ソフトウェア・サプライチェーンやSBOMの日本国内での利活用に関する議論をすることで、これらの新しい取り組みに対する理解を深めることを目的にセミナーが開催されました。

<概要>

■ 日時:2023年8月25日(金)13:20~17:00(開場13:00)

■ 場所:AP市ヶ谷

■ 主催:NPO 日本ネットワークセキュリティ協会(JNSA)調査研究部会IoTセキュリティワーキンググループ

■URL:https://www.jnsa.org/seminar/2023/iot/index.html

■内容:

【基調講演】

「SBOMに関する国内外の最新動向および日本の取組について」

経済産業省 商務情報政策局 サイバーセキュリティ課 課長補佐 飯塚 智氏

【Session ①自動車】

「クルマのソフトウェア化に伴う、セキュリティ要件と求められる対応」

一般社団法人 Japan Automotive ISAC 技術委員会 委員長

マツダ(株) MDI&IT本部 主査(グローバルセキュリティ担当) 山﨑 雅史氏

【Session ②:医療機器】

「医療機器におけるサイバーセキュリティ対策とSBOMの活用」

一般般社団法人 電子情報技術産業協会 ヘルスケアインダストリ部会 医療用ソフトウェア専門委員会 委員長 日本光電工業(株) 技術戦略本部 松元 恒一郎氏

【Session ③:ソフトウェア】

「SBOMの継続的な運用フローとリスク管理手法」

Software ISAC OSS委員会 副委員長

株式会社アシュアード yamoryプロダクト責任者 鈴木 康弘

【パネルディスカッション】

「日本におけるソフトウェアサプライチェーンとSBOMのこれからを考える」


  • 「SBOMの継続的な運用フローとリスク管理手法」

    (yamoryプロダクト責任者/Software ISAC OSS委員会 副委員長 鈴木 康弘)

自動車産業、医療機器、医療機関をはじめ、様々な産業でSBOMの対応を求められている中、「とりあえずSBOMを作って対応したが今後の運用フローの構築に課題がある」「SBOMを活用したリスク管理はできていない」という企業様は非常に多いです。

そこで本セッションでは、SBOMの活用段階について説明した上で、継続可能な運用フローの構築や、SBOMを活用したリスク管理手法について解説しました。

講演内容の詳細や資料をご希望の方は、下記よりお気軽にお問合せください。

使い方 | yamory - 脆弱性管理クラウド
yamory は IT システム全レイヤーの脆弱性対策をオールインワンで実現します。
yamory.io

【脆弱性管理クラウド「yamory(ヤモリー)」について】

「yamory」は、ITシステムの脆弱性を自動で検知し、管理・対策ができるクラウドサービスです。ソフトウェアの脆弱性管理に加え、セキュリティ診断やクラウド設定管理(CSPM)を提供することで、ITシステムに必要な脆弱性対策をオールインワンで実現します。複雑化するITシステムの網羅的な脆弱性対策を効率化し、安心してテクノロジーを活用できる世界を目指し、社会のDX加速を支えます。

URL:https://yamory.io/

Twitter:https://twitter.com/yamory_sec

運営会社:株式会社アシュアード https://www.visional.inc/ja/assured.html

【Visionalについて】

「新しい可能性を、次々と。」をグループミッションとし、HR Tech領域を中心に、産業のデジタルトランスフォーメーション(DX)を推進するさまざまな事業を展開。「ビズリーチ」をはじめとした採用プラットフォームや、人財活用プラットフォーム「HRMOS」シリーズを中心に、企業の人材活用・人材戦略(HCM)エコシステムの構築を目指す。また、M&A、物流Tech、サイバーセキュリティ、Sales Techの領域においても、新規事業を次々に立ち上げている。

URL:https://www.visional.inc/

タイトルとURLをコピーしました