ランチセッション3:「SBOM に惑わされるな」- SSVC による企業システムの本質的な脆弱性リスク管理の実践 #yuzawaws
ランチセッション3:「SBOM に惑わされるな」- SSVC による企業システムの本質的な脆弱性リスク管理の実践
フューチャー株式会社 神戸康多氏
脆弱性管理の課題に対し、CVSSの代わりとなる新指標を用いた製品、FutureVulsを紹介した。企業では脆弱性の対応が遅れがちで、これを解決するSBOMの導入の利点が語られた。
SBOMによって構成情報や脆弱性、ライセンス等を共通フォーマットで定義することで流通可能にし、特に組織横断的な構造を持つ脆弱性管理に効果的であると言われている。
しかしこれだけでは実際の脆弱性への対応は不十分で、トリアージが必要となる。現行のCVSSによるトリアージは攻撃の実態やその影響と乖離があり不十分で、これに対し、SSVCを基盤としたトリアージと、対応指示の自動化を行うFutureVulsを提案している。これにより脆弱性管理の品質向上と運用負荷の軽減が期待できる。