正規SBOM情報漏洩対策の制御方法と管理装置

本技術は、正規ソフトウェア部品情報を管理するSBOMの漏洩リスクを低減する制御方法と、それを実現する管理装置の概要を示します。正規SBOMをそのまま外部へ送るのではなく、記憶部に保存された正規SBOMを基に、少なくとも一部を変更した非正規SBOMを生成します。生成した非正規SBOMは、複数部品の依存関係を解消してフラット化し、外部装置へ送信します。外部装置は非正規SBOMを用いて脆弱性を解析しますが、正規情報の一部は回収できません。さらに、正規情報を偽装したダミーのセッションを併用することで、正規情報の漏洩時の悪用を困難にします。

技術の要旨は、正規SBOMを外部へ提供する際に、情報漏洩時の攻撃者に有用な依存関係情報を過度に露出しないようにする点にある。具体的には、記憶部に保存された正規SBOMを基に、少なくとも一部を改竄した非正規SBOMを生成し、ネットワーク経由で外部装置へ送信する。非正規SBOMは、正規SBOMの依存関係を解消してフラット化する、もしくは複数の名称情報を仮名化・ハッシュ化して識別子を難読化する。技術1では、改竄した情報を外部装置から受信したレスポンス情報として復元する機能を備え、復元は復元用データベースで行う。技術2では、複数部品間の依存を解消することで、脆弱性解析時の詳細な依存関係を隠蔽する。技術3以降では、正規情報と非正規情報を正規セッションとダミーセッションとして混在送信する手法、レスポンス情報の破棄・復元、仮名化情報の復元による安全な解析結果の取得など、実装上の具体的な流れを説明する。これらを組み合わせることで、正規SBOMの漏洩リスクを低減しつつ外部の脆弱性管理サーバによる検査を妨げず、セキュアな情報連携を実現する。実施形態には、正規情報を改竄して非正規情報を生成する“セルフポイズニング”や、仮名化・ハッシュ化、ネスト構造を平坦化する処理、ダミーセッションの活用等が含まれる。これにより、外部へ提供する情報の信頼性と機密性の両立を図り、組織のサプライチェーンリスク管理を強化できる。