@inproceedings{oai:ipsj.ixsq.nii.ac.jp:00240905,
 author = {加藤, 敦也 and 河野, 美沙子 and Atsuya, Kato and Misako, Kono},
 book = {コンピュータセキュリティシンポジウム2024論文集},
 month = {Oct},
 note = {昨今，ITシステムの脆弱性の早期検出・対策のため，ITシステムに含まれるソフトウェアや依存関係をリスト化したデータであるSBOM(Software Bill of Materials)の活用に注目が集まっている．SBOMを活用した脆弱性対応に関して，パッチ提供方法等の違いから，ソフトウェアを開発者が意図して導入したプライマリソフトウェアと，その部品であるセカンダリソフトウェアに分けて考えることが効果的である．ここで，セカンダリソフトウェアに脆弱性が検出された場合では，依存関係による影響を防ぐため，プライマリソフトウェアベンダのパッチによって対応することが基本となると考える．そのため，ソフトウェアの階層も含めた依存関係取得方法が必要となる．本研究では，OSSのSBOM生成ツールであるSyftによって取得されたSBOMの情報から，ソフトウェアの階層も含めた依存関係を特定する手法を提案する．また，提案手法を弊社のITシステムに適用し，脆弱性への対策方針検討に有益であることを確認した．これにより，ITシステム管理者の脆弱性に対する早期対応を支援することが可能になると考えられる．, Currently, the use of the Software Bill of Materials (SBOM), which is data listing the software and dependencies in IT systems, is attracting attention for the early detection and countermeasure of vulnerabilities in IT systems. Regarding vulnerability countermeasures using SBOM, it is effective to divide software into primary software, which is introduced with the intention of the developer, and secondary software, which is a component of the primary software, due to differences in the way patches are provided and other factors. If vulnerabilities are detected in secondary software, it is basic to apply patches from the primary software vendor in order to prevent the impact of dependencies. Therefore, a method for obtaining software dependencies is needed. In this study, a method is proposed to obtain dependencies, including software hierarchies, from the SBOM information obtained by Syft, an OSS SBOM generation tool. We applied the proposed method to our IT systems and confirmed that it is useful for considering countermeasure plans to vulnerabilities. This would help IT system administrators to take early action against vulnerabilities.},
 pages = {1188--1193},
 publisher = {情報処理学会},
 title = {SBOMを活用したソフトウェアの依存関係取得及び脆弱性対応支援方法に関する検討},
 year = {2024}
}