- 概要
- すべてのモデル
- サポート
ソフトウェア・サプライチェーン全体における透明性とセキュリティ
Keysight SBOM Managerは、複雑な開発、統合、運用環境全体において、ソフトウェアのライフサイクル全体にわたる可視性とリスクに関する洞察を提供するエンタープライズグレードのプラットフォームです。バイナリレベルのSBOM生成と、検証、情報補完、共有、継続的なモニタリングを組み合わせることで、ソフトウェア部品表(SBOM)のエンドツーエンドの可視化、検証、およびセキュリティインテリジェンスを実現します。 SBOM Generator、SBOM Studio、SBOM Consumerで構成される統合エコシステムを通じて、このプラットフォームは、組織が極めて正確なバイナリベースのSBOMを生成し、それらを一元的に管理・配布し、ソフトウェアサプライチェーンのリスクを継続的に評価することを可能にします。 製品チーム、システムインテグレーター、セキュリティ運用部門、コンプライアンス部門など、幅広いステークホルダー向けに設計されたSBOM Managerは、オープンソース、独自開発、サードパーティ製コンポーネントの追跡を自動化するとともに、脆弱性の相関分析、バージョン追跡、コンプライアンスレポート機能を提供します。これにより、組織はセキュリティ上の問題を抱える依存関係を検出し、ポリシーを適用し、新たな脅威に迅速に対応し、監査への備えを維持することが可能となり、最終的にはソフトウェアサプライチェーン全体のセキュリティ態勢を強化します。
正確なバイナリベースのSBOM生成
バイナリ、ファームウェア、OSイメージから直接、高精度なSBOMを生成し、オープンソース、プロプライエタリ、および深く組み込まれたコンポーネントを特定することで、顧客に提供される製品の内容を正確に反映します。
コンテキストに基づく脆弱性の関連付けと優先順位付け
SBOMのコンポーネントを複数の脆弱性情報源と照合し、インテリジェントなフィルタリングを適用してノイズを低減することで、チームが膨大なCVEリストに圧倒されることなく、関連性が高く悪用可能なリスクに集中できるように支援します。
コンプライアンス対応のSBOMおよびVEXライフサイクル管理
FDA、EU CRA、CERT-In、およびその他のフレームワークが定める最低限の要素要件に準拠した、検証済みの高品質なSBOMを提供します。また、スケーラブルなVEX生成機能と、監査対応に向けた管理された共有機能を備えています。
資産単位での可視性を備えた継続的な監視
新たな脆弱性を継続的に追跡し、SBOMを展開済みの資産に紐付けることで、リスクが存在する箇所をリアルタイムで把握し、より迅速かつ効果的な是正措置を可能にします。
最も一般的な構成
SBOMジェネレーター
高度なバイナリ解析技術を用いて、バイナリ、ファームウェア、コンテナから高精度なSBOMを生成します。ソースコードは不要です。
高度なバイナリ解析技術を用いて、バイナリ、ファームウェア、コンテナから高精度なSBOMを生成します。ソースコードは不要です。
SBOM Studio
デジタル製品メーカーが、脆弱性の追跡や規制順守のために、製品ライフサイクル全体にわたるSBOM管理を一元化できるよう支援します。
デジタル製品メーカーが、脆弱性の追跡や規制順守のために、製品ライフサイクル全体にわたるSBOM管理を一元化できるよう支援します。
SBOMコンシューマ
デジタル製品の購入者が、サプライヤーのSBOMを検証し、継続的に監視できるよう支援するとともに、リアルタイムでの脆弱性追跡とリスクの特定を行います。
デジタル製品の購入者が、サプライヤーのSBOMを検証し、継続的に監視できるよう支援するとともに、リアルタイムでの脆弱性追跡とリスクの特定を行います。
ウェビナー:EUサイバーレジリエンス法(CRA)に備える
このウェビナーでは、自動化されたワークフローでCRAに備える方法を学びます。SBOMの生成、検証、脆弱性監視、CRA対応レポート作成を簡素化する方法を発見してください。明確な次のステップと、CRAへの準備を強化するための強固な基盤を得ることができます。
英語でオンデマンド配信
今すぐ利用可能
最高のSBOMソリューションが提供すべきもの
ソフトウェア部品表(SBOM)は、現代のサイバーセキュリティおよびソフトウェア・サプライチェーン管理において、最も重要なツールの一つとなっています。SBOMは、ソフトウェアやデバイスを構成するコンポーネントを一覧化することで、脆弱性の評価、コンプライアンスの確保、そして製品ライフサイクル全体を通じた信頼の維持に必要な可視性を提供します。
EUのCRA規制への対応まであと1年――2026年9月11日、すべてが変わる
多くの組織は、EUサイバーレジリエンス法(CRA)への準拠期限が2027年12月11日までだと考えています。しかし、その認識は危険なほど誤っています。実際の最初の期限は2026年9月11日、つまり今日からちょうど1年後です。
衛星、宇宙機、防衛システムは、オープンソース、サードパーティ製、レガシーなコンポーネントによって支えられた複雑なソフトウェアエコシステムに依存しています。最近の出来事は、こうしたソフトウェアのサプライチェーンを追跡し、保護し、管理することがいかに重要であるかを改めて私たちに認識させています。
SBOMが組織のグローバルなサイバーセキュリティ規制への準備をどのように支援するか
「SBOMは、ソフトウェア構成管理やサプライチェーン・リスク管理を含む、システムのセキュリティリスクを監視する上で不可欠です。システム構成要素の可視化を実現し、脆弱性の影響分析を支援するソリューションは、組織のサイバーセキュリティ対策を強化する上で大きな可能性を秘めています。」
日立産業制御ソリューションズ
島崎直樹
ソフトウェア定義ソリューション部門 ディレクター
キーサイトの強みをご覧ください
よくあるご質問
Keysight SBOM Managerは、特許出願中のバイナリSBOM生成機能と、検証、データ補完、継続的モニタリング、スケーラブルなVEX管理、安全な共有機能を単一のプラットフォームに統合している点で、多くのSBOMツールとは一線を画しています。主にソースコードやビルドシステムデータに依存するツールとは異なり、バイナリ、ファームウェア、コンパイル済みソフトウェアを分析することで、他の方法では見落とされがちなオープンソース、プロプライエタリ、および深く組み込まれたコンポーネントを特定します。 また、FDAガイダンス、EUサイバーレジリエンス法、CERT-In要件などのフレームワークが求める最低限の要素要件に準拠した出力を生成することで、SBOMの品質とコンプライアンス対応力を向上させます。さらに、完全なCVE到達可能性分析を謳うツールもありますが、そのようなアプローチは実際には決定的な結果をもたらさないことが多々あります。 Keysight SBOM Managerは、マルチソースの脆弱性相関分析、明らかに無関係なCVEのインテリジェントなフィルタリング、およびスケーラブルなVEX生成を組み合わせることで、より実用的かつ信頼性の高いアプローチを採用し、実際の悪用可能性に関するコンテキストを提供します。これにより、組織は不確実な到達可能性の主張に頼ることなく、対処可能なリスクを優先順位付けできます。このプラットフォームは、製造業者と利用者の双方に対し、ライフサイクル管理、資産レベルの可視性、および継続的な監視を提供し、SBOMを静的なコンプライアンス文書から、実用的なセキュリティインテリジェンスへと変革します。
はい、高度なバイナリ解析を用いれば、ソースコードがなくてもSBOMを生成することが可能です。Keysight SBOM Managerは、特許出願中の技術を用いてコンパイル済みバイナリ、ファームウェア、コンテナを解析し、ソースコードベースのツールでは見落とされがちな組み込みコンポーネントの検出を可能にします。このアプローチは、サードパーティ製ソフトウェア、静的リンクされたライブラリ、レガシーシステム、およびソースコードが入手できないクローズドソース環境の解析において、特に重要です。
Keysight SBOM Managerは、ソースコード、パッケージマニフェスト、またはビルド時のアーティファクトのみに依存するのではなく、実際に提供・展開されるバイナリ、ファームウェア、およびコンパイル済みソフトウェアを分析することで、SBOMの精度と網羅性を向上させます。多くのソフトウェア製品には、静的リンクされたライブラリ、ネイティブコード、独自モジュール、サードパーティ製コンポーネント、および深く埋め込まれた依存関係が含まれており、ソースベースのツールではこれらを見逃したり誤って識別したりすることが多いため、これは極めて重要です。 キーサイトは、特許出願中のバイナリ検出技術を活用し、オープンソース、独自開発、クローズドソースのソフトウェアにまたがる幅広いコンポーネントを特定することで、組織が出荷製品の実際の内容をより正確に反映したSBOMを構築できるよう支援します。また、コンポーネント名やバージョンをより正確に特定し、CPEやPURLなどの正しい識別子を割り当てることで精度を向上させ、より信頼性の高い脆弱性マッピングをサポートします。 さらに、Keysight SBOM Managerは、SBOMデータの検証、正規化、修正、および充実化を行い、依存関係や必要なメタデータを含め、可能な限り完全性と品質を向上させます。その結果、より高品質で完全かつ信頼性の高いSBOMが得られ、脆弱性管理、規制コンプライアンス、および下流の運用利用をより適切にサポートします。
Keysight SBOM Managerは、SBOMを単に生成するだけでなく、業界や政府の期待に沿って測定可能かつ検証可能であり、継続的に維持管理されることを保証することで、組織が進化する規制要件を満たすのを支援します。 このプラットフォームには、NTIAの必須要素、BSI TR-03183、その他のグローバルガイドラインといった公認フレームワークに準拠した、組み込みのSBOM品質評価および検証機能が搭載されており、チームはSBOMデータを提出または共有する前に、その完全性、一貫性、および有用性を評価することができます。また、複数の脆弱性情報ソースに対してSBOMコンポーネントを継続的に監視し、継続的なリスク評価や新たに公開された脆弱性へのタイムリーな対応など、市販後および運用上のコンプライアンス要件をサポートします。 さらに、Keysight SBOM Managerは、VEXを通じた脆弱性コンテキストの構造化された処理、管理された追跡可能なSBOM共有、および製品リリース間のバージョン管理をサポートします。品質検証、継続的な監視、ライフサイクル追跡性を組み合わせることで、このプラットフォームは、組織が単発的なコンプライアンス報告から、FDAガイダンス、EUサイバーレジリエンス法、PCI DSS、CERT-In要件などの規制に準拠した、反復可能で監査対応可能なコンプライアンスプロセスへと移行することを可能にします。
Vulnerability Exploitability eXchange(VEX)は、ソフトウェアベンダーが、既知の脆弱性(CVE)が自社製品に実際に影響を与えるかどうか、また影響を与える場合、どのような条件下で影響を受けるかを伝達するための標準化された仕組みです。SBOMはすべてのコンポーネントとその潜在的な脆弱性を列挙しますが、悪用可能性に関する文脈は提供しません。 このため、大量のCVEが報告されることが多く、その多くは特定の製品構成においては関連性がない場合があります。VEXは、ベンダーが脆弱性について「影響なし」、「影響あり」、「修正済み」、または「調査中」のいずれかを、根拠となる説明とともに宣言できるようにすることで、このギャップを解消します。この文脈情報は、規制順守、顧客への説明、および効果的な脆弱性の優先順位付けにおいて極めて重要です。Keysight SBOM Managerは、VEXとSBOMデータを緊密に統合することで、スケーラブルかつライフサイクル主導型のVEX管理を実現します。 VEX文書の生成とインポートの両方をサポートしており、組織は独自のVEXステートメントを作成できるほか、サプライヤーやサードパーティからのVEXデータを取り込むことも可能です。このプラットフォームは、製品やバージョンにわたるSBOMの更新と脆弱性ステータスの同期を維持し、長期的な一貫性を確保します。SBOMコンポーネントとマルチソースの脆弱性インテリジェンスを継続的に照合して新たに公開されたCVEを特定し、チームが効率的に評価を行い、悪用可能性ステータスを割り当てるのを支援します。 VEXにインテリジェントな脆弱性フィルタリングおよび優先順位付け機能を組み合わせることで、キーサイトはCVEノイズを低減し、セキュリティチームが対処可能なリスクに集中できるよう支援します。さらに、VEXドキュメントは、管理されたバージョン管理型の配布メカニズムを通じて、SBOMと共に顧客、パートナー、規制当局と安全に共有することができ、ソフトウェアサプライチェーンのライフサイクル全体における透明性、信頼性、およびコンプライアンスを向上させます。
Keysight SBOM Managerは、SBOMベースの分析におけるノイズの根本原因、すなわち不正確な脆弱性マッピング、不完全なデータソース、および悪用可能性に関するコンテキストの欠如に対処することで、脆弱性情報の過剰な負荷を軽減します。多くのツールは、National Vulnerability Database(NVD)などの単一のソースに大きく依存し、自動化されたCPEベースの照合を使用していますが、これにより、マッピングの欠落、範囲が広すぎる、または不正確なマッピングが原因で、誤検知(false positive)や検知漏れ(false negative)が発生する可能性があります。 キーサイトは、SBOMコンポーネントを、ベンダーのアドバイザリやプロジェクト管理リポジトリなどの信頼できる情報源を含む、複数の脆弱性および脅威インテリジェンス情報源と照合し、不一致が生じた場合にこれらを優先的に処理することで、この課題を克服します。これにより、プラットフォームは脆弱性データの不整合を特定し、精度を大幅に向上させることができます。 さらに、Keysight SBOM Managerは精密なバージョンおよびパッチレベルの分析を実行し、特定のコンポーネントバージョンですでに修正済みの脆弱性を自動的に除外します。これにより、適用されたパッチを考慮せずにベースバージョンのみに基づいて脆弱性を報告してしまうという一般的な問題を回避できます。ノイズをさらに低減するため、本プラットフォームはエクスプロイト可能性の評価において、実用的かつ自動化されたアプローチを採用しています。 選択されたコンポーネントに対しては、高度なCVE到達可能性分析を実行し、脆弱性のあるコードが製品内に実際に存在するか、または使用されているかを判断します。この分析に基づき、Vulnerability Exploitability eXchange(VEX)ステートメントを自動的に生成することができ、例えば、関連するコードが含まれていない場合には、その脆弱性を「影響なし(Not Affected)」としてマークします。 Keysight SBOM Managerは、マルチソース情報、権威ある検証、パッチを考慮した分析、選択的な到達可能性評価、および自動化されたVEX生成を組み合わせることで、誤検知(false positive)と検知漏れ(false negative)を劇的に低減します。その結果、セキュリティチームが真のリスクに優先順位を付け、手動による調査の負担を軽減し、セキュリティおよびコンプライアンス要件により効率的に対応できるよう支援する、的を絞った実用的な脆弱性ビューが得られます。
Keysight SBOM Manager を使用することで、SBOMの利用者や資産所有者は、静的なSBOMの枠を超え、実環境に直接対応する運用上のセキュリティインテリジェンスへと変換することができます。現在、多くの組織ではSBOMの可視性が不足しているか、あるいはSBOMを脆弱性フィードや資産インベントリと連携していない静的な文書として扱っているため、その実用的な価値が制限されています。 キーサイトは、サプライヤーから提供されたSBOMを取り込み、バイナリから独立してSBOMを生成し、両者を比較して正確性を検証し、隠れたコンポーネントや欠落したコンポーネントを特定する一元化されたプラットフォームを提供することで、この課題に対処します。これにより、「信頼するが検証する(Trust but Verify)」というアプローチを支援します。さらに、このプラットフォームは、マルチソースの脆弱性インテリジェンスと継続的なモニタリングによってSBOMデータを充実させ、新たに公開された脆弱性がすべての既知のコンポーネントと自動的に照合されるようにします。 ベンダーのアドバイザリや手動調査に依存する従来のワークフロー(数週間から数ヶ月を要する場合がある)とは異なり、キーサイトはリアルタイムのリスク検出を可能にし、新しいCVEが公開されてから数秒以内に影響を受けるコンポーネントや資産を特定します。重要な差別化要因は、SBOMデータを実際に展開されている資産にマッピングする能力であり、資産インベントリやディスカバリーシステムと統合することで、資産の場所、所有権、重要度などの完全なコンテキストを提供します。これにより、組織は次のような重要な質問に即座に答えることができます。「影響を受けているか?」「どの資産か? 「どこに配置されているか?」「重要度はどの程度か?」Keysight SBOM ManagerはVEXの取り込みと管理機能も備えており、ユーザーはベンダーが提供する悪用可能性のコンテキストを適用し、初期のリスク評価を時間をかけて精緻化できます。自動化された脆弱性のトリアージ、インテリジェントな優先順位付け、コンテキストに基づくアラートと組み合わせることで、手作業の負担を大幅に軽減し、意思決定を改善します。 SBOMの取り込みと生成、継続的な脆弱性モニタリング、資産レベルの相関分析、およびVEX主導のコンテキストを統合することで、Keysight SBOM Managerは、資産所有者が遅延を伴う事後対応型の分析から、即時的かつ正確で実用的なリスク可視化へと移行することを可能にします。その結果、インシデント対応の迅速化、運用レジリエンスの向上、およびNIS2やIEC 62443などの規制へのより強固なコンプライアンスが実現されます。
Keysight SBOM Managerは、SBOMおよびVEX文書の共有のために、一元化された役割ベースのアクセス制御と管理された配布メカニズムを提供します。これにより、バージョン管理、トレーサビリティ、および安全なアクセスが確保され、手動でのファイル転送が不要になるため、組織は規制上の要件と透明性に関する顧客の要求の両方を満たすことができます。