@inproceedings{oai:ipsj.ixsq.nii.ac.jp:00240907,
 author = {荒川, 玲佳 and 鐘本, 楊 and 和田, 泰典 and 秋山, 満昭 and Reika, Arakawa and Yo, Kanemoto and Yasunori, Wada and Mitsuaki, Akiyama},
 book = {コンピュータセキュリティシンポジウム2024論文集},
 month = {Oct},
 note = {ソフトウェアのサプライチェーンは複雑化しており，セキュリティの脅威リスクも年々高まっている．サプライチェーン全体のセキュリティ向上手段として，ソフトウェアの構成を可視化するSBOMが注目されている．しかし，SBOMに基づく脆弱性検査ではソフトウェアのサービスに影響が生じるようなコンポーネントに絞った検査ができず，優先的に対応すべき脆弱性の特定と対応に遅れが生じる課題がある．この課題に対し，本研究では脆弱性検査結果の優先付けのためにLLMを用いてソフトウェアの運用実行に直接使用されるコンポーネントを特定する手法を提案する．手法はSBOMに記載されたコンポーネントごとに機能概要と識別基準の情報をプロンプトに与えてLLMに識別させる．次に依存関係グラフをもとに運用コンポーネントに依存するコンポーネント集合を特定する．実験で提案手法のPrecisionは0.86でベースラインと比較して0.41改善させ，脆弱性検査結果のうち21\%が開発コンポーネントと特定した．また既存技術の特定方法には言語制約があったが，提案手法は制約を緩和することを確認した．, The complexity of software supply chains is increasing, and security risks are escalating annually. To enhance security, the Software Bill of Materials (SBOM) has gained attention. However, SBOM-based vulnerability scans struggle to identify components affecting software services, delaying the response to critical vulnerabilities. This study proposes a method to prioritize vulnerability scans by using a Large Language Model (LLM) to identify components directly involved in operations. The LLM is provided with functional summaries of SBOM components as prompts, followed by an analysis of the dependency graph to ensure critical components and their dependencies are included. Experimental results show a 0.41 improvement in precision (achieving 0.86) and a 21% reduction in vulnerability scan results.},
 pages = {1202--1209},
 publisher = {情報処理学会},
 title = {SBOM脆弱性検査の優先度付けを目的としたソフトウェアコンポーネント種別特定手法},
 year = {2024}
}