SBOM、約6割が「知らない」 アシュアードが脆弱性対策の実施状況を調査：セキュリティニュースアラート

アシュアードは、yamoryの調査結果を発表し、脆弱性対策の実施状況とSBOMの認知度・導入状況などを明らかにした。SBOMの認知度を聞いたところ約6割が「知らない」と回答した。

[後藤大地，有限会社オングス]

　アシュアードは2023年12月14日、脆弱（ぜいじゃく）性管理クラウド「yamory」が実施した脆弱性対策実態およびソフトウェア部品表（以下、SBOM）に関する調査結果を発表した（yamory調べ）。

　調査は2023年11月に従業員数500人以上の企業に勤める情報システム担当者20〜60代の男女300人を対象に実施された。

アシュアードはyamoryが実施した脆弱性対策実態およびSBOMに関する調査結果を発表した（yamory調べ）（出典：アシュアードのWebサイト）

「2024年は『SBOM元年』になる」　一方で約6割が「知らない」と回答

　報告されている主な内容は以下の通りだ。

• 58％が脆弱性対策を実施していたが、42％が不十分または未実施だった
• 脆弱性対策を実施している企業のうち約4割は「パッチ適用などの対処」ができていなかった。半数は3カ月以上脆弱性検査ができていなかった
• 脆弱性対策に従事する人員は52.6％が「不足している」と回答した。脆弱性対策に関する課題は「専門知識不足で理解や判断が難しいこと」（53.4％）だった
• 2023年に会社や職場にとって脅威と感じたものは「ランサムウェアによる被害」が60.7％で最も多かった
• SBOMの認知度は約4割で6割が「知らない」と回答した。認知している人の中で今後の導入予定を聞いたところ、33.1％が「導入済み」で22.5％が「導入に向けて検証中」という結果になった。18.5％が「導入に向けた具体的なアクションはしていないが、今後導入予定である」と回答し、今後の導入拡大が見込まれる

　調査結果は、企業がサイバー脅威を認識して対策の重要性を理解しているが、人員やスキルなどの不足から十分な対策を講じられていない実情が示されている。この他、SBOMの認知度が広まっているものの、実際に着手する企業はまだ限定的であることも明らかになった。

　yamoryプロダクトオーナーである鈴木康弘氏は「EUサイバーレジリエンス法案などのSBOM対応が必須の各種レギュレーションにおいて、2025年度に向けた準備が2024年度中に必要になることから、2024年はSBOMの認知・活用が促進され『SBOM元年』になるのではないかと思います」と述べた。

　サイバー攻撃対策はサプライチェーン全体で実施する必要がある。その対策においてSBOM対応は必須になると考えられており、今後急速に対応が必要になるものとみられる。