ソフトウェアサプライチェーンリスクの低減に向けたSBOMの利活用 NTT データ 清宮さま #owaspnight

SBOM Drift　docs.anchore.com/current/docs/c… #owaspnight

csa.gov.sg/resources/publ… #owaspnight

構成管理をやることのメリット、デメリットと、SBOM を使って構成管理をやるメリット・デメリットを同時に議論しないようにステップを踏むことが大事な気はしますね。 #owaspnight

SBOM も部品表の管理の話と、脆弱性の管理や共有の話が同時進行すると難しいところもあるので、SBOM を使った脆弱性管理という標題は示唆に富んだタイトルだなと感じた次第でした。 #owaspnight

シンプルだけど、研修で評判の良いスライド。 まずはサービスの目的が存在して、運用設計はそのサービスの目的に合わせて設計する。 運用は、サービスの目的に合わせて設計された業務を安定かつ効率的に提供する。 当たり前だけど、サービスの目的にあわせて、運用も運用設計も変わる。

BREAKING. From a reliable source. MITRE support for the CVE program is due to expire tomorrow. The attached letter was sent out to CVE Board Members.

この１年くらいの間で各国の PSIRT が備えてきたことがここに来て本格的に効いてくる気がしますね。

Google の AI ツール #NotebookLM の音声概要機能が日本語で利用可能になったので、AIID に直近 2 週間で登録されたインシデント情報を Deep Research with 2.5 Pro でまとめた情報を元に、PodCast 風の音声概要を作成してみました。概要把握に大変便利ですね。 notebooklm.google.com/notebook/236a3…

GitHub - JNSA-AISecurityWG/Generative_AI_Doc github.com/JNSA-AISecurit… 成熟度モデルではなく、AI ユースケースごとに存在する脅威と必要とされるアクション・対策の一覧といった方がしっくりくる印象でした。対策内容について OWASP AI Exchange と対照表を作ってみると面白そうですね。

OASIS Common Security Advisory Framework v2.0 Approved as an ISO/IEC International Standard - OASIS Open oasis-open.org/2025/05/20/csa… ISO/IEC 20153 として、The Common Security Advisory Framework (CSAF) Version 2.0 が承認されました。VEX / SBOM を通した M2M

Code of Conduct | Bugcrowd bugcrowd.com/resources/hack… Be Ethical. Don’t intentionally mislead customers or Bugcrowd. It is your job to try and break both technology and business logic flaws, but when you find a weakness it is also your job to report it to be fixed – not exploit it.

【オウンドメディア更新】 協会理事にインタビューをする「AI Governance Leaders 」にてリクルートホールディングス取締役の瀬名波様のインタビュー記事を公開しました リクルートが取り組んでいるAIガバナンスのリアルについて語っていただいています！ぜひご覧ください ai-governance.jp/blog-articles/…

5月末でAIGAの会員も100社を超え、現在の会員構成や、皆さまがAIGAに参画された背景についてまとめた記事を公開いたしました。 また、直近の活動内容や今後の取り組み方針についても触れておりますので、ぜひご一読いただけますと幸いです。 ai-governance.jp/blog-articles/…

The Impact of Artificial Intelligence on the Cybersecurity Workforce | NIST nist.gov/blogs/cybersec… Security for AI / AI for Security の双方の観点で、AI が既存のセキュリティ業務に与える影響が標準化されることになっていきそうです。動向をおっていきます。

AI ガバナンスナビの開発に会員有志として関わりました。36 項目のチェックリストは、AI 事業者ガイドラインとも整合性がとれており 2025 年現在として実践的です。Living Document として更新していくことが最も重要ですので、引き続き活用・知の共有の双方で貢献できればと思います。

【FIRST参加しました】 6日間のFIRST年次会議には100カ国以上から1000名を超える参加者があり、150のセッションで発表や情報交換の場がありました。 日本のCSIRTが情報交換するNCA(日本シーサート協議会)と同様に、セキュリティ対策において情報共有と広い連携が重要であることを改めて認識しました。