AIベースのサイバーセキュリティ企業AIスペラ(AI SPERA)が政府主導で推進されたSBOM(Software Bill of Materials)実証事業を完了したと12日明らかにした。今回の実証を通じて、国内ソフトウェアサプライチェーンのセキュリティ体系にSBOMを実際のサービス環境に適用した事例を確保した。
SBOMは、ソフトウェアを構成するオープンソースおよびサードパーティライブラリのソース、バージョン、ライセンス情報を体系的に管理する方式で、グローバルサプライチェーンセキュリティ基準として活用されている。米国とヨーロッパでは政府調達と主要産業を中心にSBOM提出が要求されているが、国内では制度と技術適用が初期段階にとどまり、実証事例が制限的だった。
AIスペラは今回の実証事業で、自社攻撃表面管理(ASM)および脅威インテリジェンスプラットフォームである「Criminal IP(クリミナルIP)」にSBOM体系を連携し、サプライチェーンセキュリティを自動化された運営モデルとして実装した。クリミナルIPには、サービスに含まれるすべてのソフトウェアコンポーネントを識別し、各コンポーネントのバージョン、ソース、ライセンス情報を管理できる構造が適用された。
これにより、外部から新規脆弱性が公開される場合、該当要素が含まれているかどうかと影響範囲を迅速に把握し、対応優先順位を設定できる環境が構築された。また、SBOMベースの自動化スキームを通じて、ソフトウェア資産管理、変更履歴追跡、脆弱性対応プロセスを1つの流れにまとめました。
このシステムは、ISO / IEC 27001、SOC 2、PCI DSS、ISMSなどの主要なセキュリティおよびコンプライアンス要件とともに、NISTベースのセキュリティフレームワーク、FedRAMP、EUサプライチェーンの透明性規制に対応できるように設計されています。これにより、ソフトウェア変更に関する履歴情報を再現可能なデータで管理できる基盤を設けた。
AIスペラは今回の実証を通じて脆弱性対応判断と措置時間を短縮し、監査及び規制対応のための証拠体系を確保したと説明した。 SBOMとクリミナルIPを組み合わせた運用モデルは、サプライチェーンセキュリティ対応の一貫性と運用安定性を高める要因と評価される。
カン・ビョンタクAIスペラ代表は「SBOM導入が初期段階の国内環境で実証を通じて適用可能性を確認した」とし「技術と運営を組み合わせたサプライチェーンセキュリティモデルを継続的に高度化していく計画」と明らかにした。
- 関連記事をもっと見る
You must be logged in to post a comment.