「何が入っているか分からない」は命取り 「SBOM後進企業」の危うい現状：脆弱性の放置からは卒業しよう

SBOMの必要性は理解していても、専門人材の不足や膨大な資産を前に「なかなか手がつけられない」と立ち止まる企業は多い。日々新たなセキュリティの脅威や脆弱性が発見される中で、SBOM管理を実践しつつ、“形だけ”の台帳管理にしないためにはどうすればいいだろうか。その現実解となる、真に機能する防衛策を考える。

PR／ITmedia

PR

　2021年末に判明した「Apache Log4j」（以下、Log4j）の脆弱（ぜいじゃく）性問題は、ソフトウェアサプライチェーンの把握がいかに困難であるかを世に知らしめた。それから数年、脆弱性を起点とした攻撃は巧妙化している。特に、セキュリティの手薄な委託先を経由してグループ全体の業務を停止させる「サプライチェーン攻撃」は、大手企業や重要インフラにとって最大の脅威だ。

　こうした事態を招いている要因はソフトウェア構成の可視化不足だけではない。脆弱性情報の収集からパッチ適用に至る脆弱性対応の「仕組み化」の遅れと高度化する脅威に対応できる「専門人材の不足」が、企業の防衛力を低下させている。

　この根深い課題を、NTTデータと、アシュアードが提供する脆弱性管理クラウド「yamory」はどう解消するのか。重要インフラを支えてきたNTTデータの「高度な運用知見」とyamoryの「自動化技術」が融合して見えてきた、日本企業のセキュリティ水準を底上げする現実解に迫る。

「脆弱性管理をやるべきことは分かっているが、手がつけられない」企業の実態

　公共分野を中心にサプライチェーンセキュリティの対策支援を担うNTTデータの原崎将矢氏は、現場の苦悩をこう語る。

NTTデータの原崎将矢氏（第二公共事業本部 第一ソーシャルセキュリティ事業部 第一統括部 グローバルセキュリティ担当 課長）

　「企業が最も懸念しているのは、ランサムウェアの侵入口となるサプライチェーンの脆弱性です。対策の重要性は理解していても、膨大な資産を前に『どこから動けばいいのか』という実務レベルで立ち止まっている企業が非常に多いのです」

　アシュアードでyamory事業を統括する山路昇氏は、その要因を「可視化の欠如」だと指摘する。

アシュアードの山路昇氏（執行役員 yamory事業部 事業部長）

　「サイバー攻撃の多くは既知の脆弱性を狙います。守る側には迅速なアップデートが不可欠ですが、そもそも自社システムの構成やIT資産を把握できていない場合が多い。この『見えない』状態こそが膨大な調査工数を生み、初動を遅らせる要因となっています。こうしたIT資産の不透明さを解消し、可視化する手段として今注目を集めているのが『SBOM』（ソフトウェア部品表）です」

なぜSBOM活用は進まないのか？　普及を阻む3つの壁

　SBOMとは、ソフトウェアを構成するライブラリなどを一覧化したものだ。これを整備することで、脆弱性の判明時に「どのシステムに影響があるか」を即座に特定できるというメリットがある。しかし、普及には3つの壁がある。

　1つ目は「IT資産の可視化と継続的なアップデート」の困難さだ。SBOMは一度作成して終わりではなく、ソフトウェアの更新に伴って常にメンテナンスする必要がある。しかし山路氏によると「『Microsoft Excel』（以下、Excel）などによる手動管理から脱却できていない企業が非常に多い」のが現状だ。

　2つ目は「依存関係」の把握の困難さだ。代表的なソフトウェアは把握できても、そこに依存しているライブラリまで追跡するのは至難の業だ。Log4j問題で明らかになったように、一見して分からない深層部分にこそ重大な脆弱性が潜んでいる。

　3つ目は「運用と人材」の課題だ。「SBOMが普及しない最大の理由は、どんなメリットがあるのか理解されていないから」（原崎氏）という点に加え、SBOMを作成しても、脆弱性の優先順位付け（トリアージ）ができる専門人材が不足していると単なる「形式的な台帳」に過ぎない。自動車業界のようにSBOM作成が義務化されても、現場がそれを活用できなければ防衛力の向上にはつながらない。

yamoryが実現する「現場の武器」としての自動化

　これらの課題を解決するために生まれたのがyamoryだ。ソフトウェア構成の解析から脆弱性への対応方法の提示まで、ITシステム全レイヤーの脆弱性管理をオールインワンで実現する。

　アシュアードが属するVisionalグループは、転職サイト「ビズリーチ」を運営している。同サービスは登録者の経歴や年収といった機微情報を扱うため、高いセキュリティ水準が求められる。その運用現場の課題を解決するために、yamoryは脆弱性管理ツールとして約7年前に誕生し、近年のSBOM需要の高まりに合わせて機能を拡張してきた。セキュリティ実務者が直面した悩みを基に作り込んだことが、現場に寄り添うツールとしての信頼につながっている。

　「最大の特徴は、クラウド／オンプレミス環境を問わず、IT資産のSBOMを自動生成できる点です。yamoryのスキャン機能がソフトウェアの構成情報を自動で収集するため、Excelによる煩雑な手動管理は不要になり、情報は常に最新の状態に保たれます。これによって、IT資産の可視化から脆弱性管理まで一元化できます。自社でサービスを提供する場合でも、開発段階で構成情報を自動収集し運用段階で対応の優先順位を提示するので、開発から運用まで一貫して利用できます。SBOM対応に長年携わってきた実績が、精度の高さを支えています」（山路氏）

yamoryの3つの特徴（提供：アシュアード）《クリックで拡大》

　特筆すべきは、特許取得済みの「オートトリアージ機能」だ。脆弱性の危険性だけでなく、外部からのアクセス可否、攻撃コードの流通有無、「KEV」（Known Exploited Vulnerabilities catalog）や「EPSS」（Exploit Prediction Scoring System）といった脆弱性カタログを組み合わせて、優先順位を判定して「すぐに対応すべき脆弱性」を自動で絞り込む。

　また、クラウド環境でのセキュリティ対策として、「クラウドアセットスキャン機能」もある。Amazon Web Services、Microsoft Azure、Google Cloudのアカウントと連携するだけで、ホスト、コンテナ、ソフトウェアなどクラウド上の構成情報に基づいたソフトウェア資産管理と、設定ミスを自動で検知（CSPM）。これによってクラウド環境を含めた網羅的な脆弱性管理が可能になる。

　日本語の直感的なユーザーインタフェース（UI）を備えた国産ツールである点もポイントだ。yamoryのユーザーにはセキュリティの専門人材が不在の病院や自治体、金融機関も多い。「専門知識がない担当者でも自社システムのリスクを把握して管理できるのがyamoryの強みです」（山路氏）

yamoryのUIは日本語表記で使いやすい（提供：アシュアード）《クリックで拡大》

NTTデータが描くSBOM統合管理の全体像

　yamoryがシステムのSBOM生成を担い、その情報をNTTデータが集約・管理し、SBOMを一元管理できるシステムを構築する。同社がこの着想に至った背景には、2021年のLog4j対応において、全社の影響を把握するのに数週間を要したという苦い経験がある。

　「当時は現場にExcelを配布して状況を報告させていましたが、集計に膨大な時間を要しました。事前にシステム構成を集約できていれば、データに基づいた指示をすぐに出せたはずです」と原崎氏は振り返る。この反省から生まれたのが、NTTデータの「SBOM統合管理システム」だ。

　NTTデータは2026年1月現在、国内事業会社内でSBOM統合管理システムを活用している。重要インフラシステムに対してSBOMの作成と登録を義務化しており、深刻な脆弱性を検知すると影響を受けるシステムを迅速に特定して対応を指示できるガバナンス体制を構築している。

　さらに、NTTデータはSBOM統合管理システムの外販を2026年3月に開始する。NTTデータのナレッジを生かしたコンサルティング、管理手順の策定、教育を含めた包括的なソリューションだ。SBOMを共通言語に、経営レベルでリスクをコントロールできる状態を目指す。

　ただし、このシステムを機能させるためには、各現場で生成されるSBOMの精度が重要となる。そこで同社は現場の負担を抑えつつ高精度かつ運用しやすいSBOM管理を実現するために、yamoryと連携した仕組みの導入を進めている。

　両者の役割分担は現場と経営をつなぐ補完関係にある。yamoryが各現場の高精度なSBOMを生成・精査し、その情報をNTTデータのSBOM統合管理システムに集約。全社横断でのリスク評価やガバナンスを担うという二層構造になっている。

SBOM統合管理システムの概要（提供：アシュアード）《クリックで拡大》

　「当社のシステムは、現場から高精度なSBOMが上がってこなければ機能しません。正確なスキャンを繰り返すyamoryの性能が、このガバナンス構造を支える役割を担っていただけることに期待しています」（原崎氏）

2027年を見据えた「SBOM流通基盤」の構想

　両者が見据えるのは、企業間での「SBOM流通」だ。「委託先や取引先とSBOMを安全に共有できてこそ、真のサプライチェーン管理です。しかし現状の電子メール送付などでは改ざんのリスクがあり、取引先ごとの方式の違いも負担になっています」（原崎氏）

　原崎氏が構想するのは、アクセス権限を細かく制御できる共通プラットフォームだ。2027年に施行される「EUサイバーレジリエンス法」（CRA）により、製品の脆弱性管理は国際的な「義務」となる。この期限までに、規格変換機能などを備えた安全な流通基盤を実装することが目標だ。

　yamoryが「作成・評価」を担い、NTTデータが「管理・流通」を支える。「yamoryはセンサーとして技術を磨くことに特化し、NTTデータと協業することで社会全体のセキュリティを底上げしたい」と山路氏は語る。

　原崎氏は最後に、脆弱性・SBOM対応に悩む企業に「SBOMを活用したセキュリティ対策には、業界標準と呼べるものがまだありません。だからこそ、NTTデータが長年培ってきたナレッジを生かせると考えています。対応にお悩みの企業さまはぜひご相談ください」とメッセージを送った。

　高精度なSBOMを生成するyamory、その情報を統括管理するシステムを提供するNTTデータ。この強固な連携が日本のサイバーセキュリティに新たな光を当てようとしている。