本資料は、Onward Security社が提供するOSS(オープンソースソフトウェア)リスク管理システムに関する紹介資料です。OSSの活用が進む中、脆弱性やライセンス違反といったリスクを適切に管理する必要があり、その解決策として、Onward Securityの「SecSAM」および「SecDevice」が提示されています。

SecSAMは、OSSの脆弱性・ライセンス・SBOM(ソフトウェア部品表)を統合的に管理できるプラットフォームであり、CVE(既知の脆弱性)やCWE(脆弱性分類)、ライセンス遵守状況の可視化と管理を実現します。SBOM形式はSPDXおよびCycloneDXに対応しており、VEX(脆弱性の実効性判定情報)との連携も可能です。

SecDeviceは、ファジング(Fuzz Testing)などを含むセキュリティ評価ツールで、バイナリレベルからの脆弱性検出に対応し、製品のセキュリティ品質を自動で検査できます。SecSAMとの連携により、検出した脆弱性をSBOM管理と結び付け、一元的にリスク対応を行えるのが特徴です。

これらのツールにより、企業は開発初期から運用までのライフサイクル全体でOSSに伴うリスクを管理・最小化でき、EUのCRAや米国のNISTガイドラインといった規制対応にも貢献します。セキュリティとコンプライアンスの両立を支援する統合的なソリューションとして位置づけられています。