- 概要
- すべてのモデル
- サポート
エンドツーエンドのソフトウェアサプライチェーンの透明性とセキュリティ
キーサイト SBOM Managerは、複雑な開発、統合、運用環境全体で、ライフサイクル全体にわたるソフトウェアの透明性とリスク洞察を提供するエンタープライズグレードのプラットフォームです。バイナリレベルのSBOM生成と、検証、エンリッチメント、共有、継続的な監視を組み合わせることで、エンドツーエンドのソフトウェア部品表 (SBOM) の可視性、検証、およびセキュリティインテリジェンスを提供します。SBOM Generator、SBOM Studio、SBOM Consumerで構成される統合されたエコシステムを通じて、このプラットフォームは、組織が高精度なバイナリベースのSBOMを生成し、それらを一元的に管理および配布し、ソフトウェアサプライチェーンのリスクを継続的に評価することを可能にします。製品チーム、システムインテグレーター、セキュリティ運用、コンプライアンス機能を含む幅広いステークホルダー向けに設計されたSBOM Managerは、オープンソース、プロプライエタリ、およびサードパーティコンポーネントの追跡を自動化し、脆弱性の相関、バージョン追跡、およびコンプライアンスレポートを提供します。これにより、組織は安全でない依存関係を検出し、ポリシーを適用し、新たな脅威に迅速に対応し、監査対応を維持することができ、最終的にソフトウェアサプライチェーン全体のセキュリティ体制を強化します。
正確なバイナリベースのSBOM生成
バイナリ、ファームウェア、およびOSイメージから直接高忠実度なSBOMを生成し、オープンソース、プロプライエタリ、および深く組み込まれたコンポーネントを明らかにして、顧客に出荷されるものを反映します。
コンテキスト駆動型の脆弱性相関と優先順位付け
SBOMコンポーネントを複数の脆弱性ソースと相関させ、インテリジェントなフィルタリングを適用してノイズを低減することで、チームが圧倒的なCVEリストではなく、関連性の高い悪用可能なリスクに集中できるように支援します。
コンプライアンス対応のSBOMおよびVEXライフサイクル管理
FDA、EU CRA、CERT-In、およびその他のフレームワークの最小要素要件に準拠した、検証済みの高品質なSBOMを提供し、スケーラブルなVEX生成と監査対応のための制御された共有を備えています。
アセットレベルの可視性による継続的な監視
新しい脆弱性を継続的に追跡し、SBOMを展開されたアセットにマッピングすることで、リスクが存在する場所に関するリアルタイムの洞察を提供し、より迅速で効果的な修復を可能にします。
最も一般的な構成
SBOMジェネレーター
高度なバイナリ解析を使用して、バイナリ、ファームウェア、コンテナから高精度なSBOMを生成します。ソースコードは不要です。
高度なバイナリ解析を使用して、バイナリ、ファームウェア、コンテナから高精度なSBOMを生成します。ソースコードは不要です。
SBOM Studio
デジタル製品の生産者が、製品ライフサイクル全体にわたるSBOM管理を一元化し、脆弱性追跡と規制遵守を実現できるようサポートします。
デジタル製品の生産者が、製品ライフサイクル全体にわたるSBOM管理を一元化し、脆弱性追跡と規制遵守を実現できるようサポートします。
SBOMコンシューマ
デジタル製品の購入者が、リアルタイムの脆弱性追跡と露出検出機能を備え、サプライヤーのSBOMを検証し継続的に監視できるようサポートします。
デジタル製品の購入者が、リアルタイムの脆弱性追跡と露出検出機能を備え、サプライヤーのSBOMを検証し継続的に監視できるようサポートします。
ウェビナー:EUサイバーレジリエンス法(CRA)に備える
このウェビナーでは、自動化されたワークフローでCRAに備える方法を学びます。SBOMの生成、検証、脆弱性監視、CRA対応レポート作成を簡素化する方法を発見してください。明確な次のステップと、CRAへの準備を強化するための強固な基盤を得ることができます。
英語でオンデマンド配信
今すぐ利用可能
最高のSBOMソリューションが提供すべきもの
ソフトウェア部品表 (SBOM) は、現代のサイバーセキュリティおよびソフトウェアサプライチェーン管理において最も重要なツールの1つとなっています。ソフトウェアまたはデバイスを構成するコンポーネントを一覧表示することで、SBOMは、製品ライフサイクル全体にわたる脆弱性の評価、コンプライアンスの確保、信頼の維持に必要な可視性を提供します。
EU CRA準拠まで1年間のカウントダウン — 2026年9月11日、すべてが変わる
ほとんどの組織は、EUサイバーレジリエンス法 (CRA) に準拠するまで2027年12月11日まで時間があると考えています。その仮定は危険なほど間違っています。実際の最初の期限は、本日よりちょうど1年後の2026年9月11日です。
衛星、宇宙船、防衛システムは、複雑なソフトウェアエコシステムに依存しており、多くの場合、オープンソース、サードパーティ、およびレガシーコンポーネントによって駆動されています。最近の出来事は、そのソフトウェアサプライチェーンを追跡、保護、管理することがいかに重要であるかを私たちに改めて認識させています。
SBOMが組織のグローバルなサイバーセキュリティ規制への準備をどのように支援するか
「SBOMは、ソフトウェア構成管理とサプライチェーンリスク管理を含むシステムセキュリティリスクの監視に不可欠です。システムコンポーネントの可視化を可能にし、脆弱性影響分析をサポートするソリューションは、組織のサイバーセキュリティ対策を強化する大きな可能性を秘めています。」
日立産業制御ソリューションズ
島崎 直樹
ソフトウェア定義ソリューション担当ディレクター
キーサイトの優位性を実感してください
よくあるご質問
キーサイト SBOM Manager は、特許出願中のバイナリSBOM生成と、検証、エンリッチメント、継続的な監視、スケーラブルなVEX管理、安全な共有を単一プラットフォームで組み合わせることで、多くのSBOMツールとは異なります。ソースコードやビルドシステムデータに主に依存するツールとは異なり、バイナリ、ファームウェア、コンパイル済みソフトウェアを分析し、見過ごされがちなオープンソース、プロプライエタリ、および深く組み込まれたコンポーネントを明らかにします。また、FDAガイダンス、EUサイバーレジリエンス法、CERT-In要件などのフレームワークの最小要素要件にアウトプットを合わせることで、SBOMの品質とコンプライアンスへの対応準備を向上させます。さらに、一部のツールは完全なCVE到達可能性分析を主張しますが、そのようなアプローチは実際にはしばしば決定的ではありません。キーサイト SBOM Manager は、マルチソースの脆弱性相関、明らかに無関係なCVEのインテリジェントなフィルタリング、およびスケーラブルなVEX生成を組み合わせることで、実際の悪用可能性のコンテキストを提供する、より実用的で信頼性の高いアプローチを採用しています。これにより、組織は不確実な到達可能性の主張に依存することなく、対処すべきリスクを優先できます。生産者と消費者双方にとって、このプラットフォームはライフサイクル管理、資産レベルの可視性、および継続的な監視を提供し、SBOMを静的なコンプライアンス文書から実用的なセキュリティインテリジェンスへと変革します。
はい、高度なバイナリ分析を使用することで、ソースコードなしでSBOMを生成できます。キーサイト SBOM Manager は、特許出願中の技術を使用して、コンパイル済みバイナリ、ファームウェア、およびコンテナを分析し、ソースベースのツールでは見落とされがちな組み込みコンポーネントの検出を可能にします。このアプローチは、サードパーティ製ソフトウェア、静的リンクライブラリ、レガシーシステム、およびソースコードが利用できないクローズドソース環境の分析において特に重要です。
キーサイト SBOM Manager は、ソースコード、パッケージマニフェスト、またはビルド時のアーティファクトのみに依存するのではなく、実際に提供および展開されるバイナリ、ファームウェア、およびコンパイル済みソフトウェアを分析することで、SBOMの正確性とカバレッジを向上させます。これは、多くのソフトウェア製品が、ソースベースのツールでは見落とされたり誤認されたりしがちな、静的リンクライブラリ、ネイティブコード、プロプライエタリモジュール、サードパーティコンポーネント、および深く組み込まれた依存関係を含んでいるため、非常に重要です。特許出願中のバイナリ検出技術を使用することで、キーサイトはオープンソース、プロプライエタリ、およびクローズドソースソフトウェアにわたるより広範なコンポーネントを特定し、組織が出荷される製品の実際のコンテンツをより正確に反映するSBOMを構築するのに役立ちます。また、コンポーネント名とバージョンをより正確に特定し、CPEやPURLを含む正しい識別子を割り当てることで精度を向上させ、より信頼性の高い脆弱性マッピングをサポートします。さらに、キーサイト SBOM Manager は、SBOMデータを検証、正規化、修正、およびエンリッチメントすることで、依存関係や必要なメタデータを含め、可能な限り完全性と品質を向上させます。その結果、脆弱性管理、規制遵守、および下流の運用利用をより適切にサポートする、より高品質で完全かつ信頼性の高いSBOMが実現します。
キーサイト SBOM Manager は、SBOMが生成されるだけでなく、業界および政府の期待に沿って測定可能、検証可能、かつ継続的に維持されることを保証することで、組織が進化する規制要件を満たすのに役立ちます。このプラットフォームには、NTIA最小要素、BSI TR-03183、その他のグローバルガイドラインなどの認識されたフレームワークに準拠した組み込みのSBOM品質スコアリングおよび検証機能が含まれており、チームは提出または共有前にSBOMデータの完全性、一貫性、および使いやすさを評価できます。また、複数の脆弱性インテリジェンスソースに対してSBOMコンポーネントを継続的に監視し、継続的なリスク評価や新たに開示された脆弱性へのタイムリーな対応など、市販後および運用上のコンプライアンス要件をサポートします。さらに、キーサイト SBOM Manager は、VEXによる脆弱性コンテキストの構造化された処理、管理された追跡可能なSBOM共有、および製品リリース全体でのバージョン管理をサポートします。品質検証、継続的な監視、およびライフサイクルのトレーサビリティを組み合わせることで、このプラットフォームは、組織が一度限りのコンプライアンス報告から、FDAガイダンス、EUサイバーレジリエンス法、PCI DSS、CERT-In要件などの規制に準拠した、反復可能で監査対応可能なコンプライアンスプロセスへと移行することを可能にします。
Vulnerability Exploitability eXchange (VEX) は、ソフトウェア生産者が既知の脆弱性 (CVE) が実際に自社製品に影響を与えるかどうか、そして影響を与える場合はどのような条件下であるかを伝えるための標準化された方法です。SBOMはすべてのコンポーネントとその潜在的な脆弱性をリストしますが、悪用可能性に関するコンテキストは提供しません。これにより、報告されるCVEの数が多くなりがちですが、その多くは特定の製品構成では関連性がない場合があります。VEXは、ベンダーが脆弱性が影響を受けない、影響を受ける、修正済み、または調査中であるかを、裏付けとなる根拠とともに宣言できるようにすることで、このギャップに対処します。このコンテキストは、規制遵守、顧客とのコミュニケーション、および効果的な脆弱性の優先順位付けにとって不可欠です。キーサイト SBOM Manager は、VEXをSBOMデータと密接に統合することで、スケーラブルでライフサイクル駆動型のVEX管理を可能にします。VEXドキュメントの生成とインポートの両方をサポートしており、組織は独自のVEXステートメントを作成できるだけでなく、サプライヤーやサードパーティからVEXデータを取り込むこともできます。このプラットフォームは、製品およびバージョン全体でSBOMの更新と脆弱性ステータスの同期を維持し、時間の経過とともに一貫性を確保します。複数の脆弱性インテリジェンスソースとSBOMコンポーネントを継続的に相関させ、新たに開示されたCVEを特定し、チームが悪用可能性ステータスを効率的に評価および割り当てるのに役立ちます。VEXとインテリジェントな脆弱性フィルタリングおよび優先順位付けを組み合わせることで、キーサイトはCVEのノイズを低減し、セキュリティチームが対処すべきリスクに集中できるよう支援します。さらに、VEXドキュメントは、管理されたバージョン管理された配布メカニズムを通じて、SBOMとともに顧客、パートナー、および規制当局と安全に共有でき、ソフトウェアサプライチェーンのライフサイクル全体で透明性、信頼、およびコンプライアンスを向上させます。
キーサイト SBOM Manager は、SBOMベースの分析におけるノイズの根本原因、すなわち不正確な脆弱性マッピング、不完全なデータソース、および悪用可能性コンテキストの欠如に対処することで、脆弱性の過負荷を軽減します。多くのツールは、National Vulnerability Database (NVD) のような単一のソースに大きく依存し、自動化されたCPEベースのマッチングを使用していますが、これはマッピングの欠落、過度に広範、または不正確なために、誤検知と見逃しの両方につながる可能性があります。キーサイトは、SBOMコンポーネントを複数の脆弱性および脅威インテリジェンスソース(ベンダーアドバイザリやプロジェクトが維持するリポジトリなどの信頼できるソースを含む)と相関させ、不一致が発生した場合にはこれらを優先することで、これを克服します。これにより、プラットフォームは脆弱性データの不整合を特定し、正確性を大幅に向上させることができます。さらに、キーサイト SBOM Manager は正確なバージョンおよびパッチレベルの分析を実行し、特定のコンポーネントバージョンで既に修正されている脆弱性が自動的に除外されるようにします。これにより、ツールが適用されたパッチを考慮せずにベースバージョンのみに基づいて脆弱性を報告するという一般的な問題を回避します。より深いノイズ削減のために、このプラットフォームは悪用可能性に対して実用的かつ自動化されたアプローチを適用します。選択されたコンポーネントについては、高度なCVE到達可能性分析を実行し、脆弱なコードが実際に製品内に存在するか、または使用されているかを判断します。この分析に基づいて、関連するコードが含まれていない場合に脆弱性を「影響なし (Not Affected)」とマークするなど、Vulnerability Exploitability eXchange (VEX) ステートメントを自動的に生成できます。マルチソースインテリジェンス、信頼できる検証、パッチ認識分析、選択的な到達可能性評価、および自動VEX生成を組み合わせることで、キーサイト SBOM Manager は誤検知と見逃しを劇的に削減します。その結果、セキュリティチームが実際のリスクを優先し、手動での調査作業を削減し、セキュリティおよびコンプライアンス要件に効率的に対応するのに役立つ、焦点を絞った実用的な脆弱性ビューが提供されます。
Keysight SBOM Managerは、SBOMコンシューマおよび資産所有者が、静的なSBOMを超えて、実際の環境に直接マッピングされる運用セキュリティインテリジェンスへと転換することを可能にします。今日、多くの組織はSBOMの可視性が不足しているか、SBOMを脆弱性フィードや資産インベントリに接続されていない静的なドキュメントとして扱っており、その実用的な価値を制限しています。Keysightは、サプライヤー提供のSBOMを取り込み、バイナリから独立してSBOMを生成し、両者を比較して正確性を検証し、隠れたコンポーネントや不足しているコンポーネントを発見するための集中プラットフォームを提供することで、この問題に対処します。これにより、「信頼するが検証する」アプローチをサポートします。このプラットフォームは、SBOMデータを複数のソースからの脆弱性インテリジェンスと継続的な監視で強化し、新たに開示された脆弱性が既知のすべてのコンポーネントに対して自動的に関連付けられるようにします。ベンダーのアドバイザリや手動調査(数週間から数ヶ月かかる場合があります)に依存する従来のワークフローとは異なり、Keysightはリアルタイムの露出検出を可能にし、新しいCVE開示から数秒以内に影響を受けるコンポーネントと資産を特定します。重要な差別化要因は、SBOMデータを実際に展開されている資産にマッピングする能力であり、資産インベントリおよび検出システムと統合して、資産の場所、所有権、重要度などの完全なコンテキストを提供します。これにより、組織は「影響を受けているか?」「どの資産か?」「どこにあるか?」「どの程度重要か?」といった重要な質問に即座に答えることができます。Keysight SBOM Managerは、VEXの取り込みと管理も組み込んでおり、コンシューマがベンダー提供の悪用可能性コンテキストを適用し、時間の経過とともに初期リスク評価を洗練することを可能にします。自動化された脆弱性トリアージ、インテリジェントな優先順位付け、およびコンテキストに応じたアラートと組み合わせることで、手作業を大幅に削減し、意思決定を改善します。SBOMの取り込みと生成、継続的な脆弱性監視、資産レベルの相関、およびVEX駆動のコンテキストを統合することで、Keysight SBOM Managerは、資産所有者が遅延した受動的な分析から、即時かつ正確で実用的なリスク可視性へと移行することを可能にします。これにより、インシデント対応の迅速化、運用レジリエンスの向上、NIS2やIEC 62443などの規制へのより強力な準拠が実現します。
Keysight SBOM Managerは、SBOMおよびVEXドキュメントを共有するための集中型、ロールベースのアクセスおよび制御された配布メカニズムを提供します。これにより、バージョン管理、トレーサビリティ、およびセキュアなアクセスが保証され、手動でのファイル転送の必要性がなくなり、組織は規制上の期待と透明性に関する顧客要件の両方を満たすことができます。