金融セキュリティ院は2日、金融向けのソフトウェアサプライチェーンセキュリティプラットフォームを2月中に本格稼働すると発表した。脆弱性の一元管理やSBOM管理、バグバウンティ運用の効率化を通じ、金融業界全体のサプライチェーンリスクへの対応力を高める狙いだ。

これに先立ち、1月30日にはソウル・汝矣島の金融投資協会ブルズホールで、金融機関のセキュリティ担当者が参加する「金融向けソフトウェアサプライチェーンセキュリティセミナー」を開催した。

同プラットフォームは、ソフトウェアサプライチェーン全体の脅威をリアルタイムで把握できるようにし、早期対応を可能にするための基盤となる。主な機能として、金融業界の脆弱性の一元管理、SBOM管理体制の整備、バグバウンティ運用の効率化を提供する。

脆弱性の一元管理では、主要な脆弱性について、セキュリティパッチの開発から適用までの全工程をワンストップで支援する。プラットフォーム上で脆弱性情報を迅速に共有し、パッチ適用までの空白期間の最小化を図る。

SBOM管理では、金融機関が利用するソフトウェアや、金融消費者に配布するソフトウェアを対象に、SBOMの管理体制を整備する。新たな脆弱性が見つかった際には、金融業界への影響を迅速に分析し、対応につなげる。SBOMは、ソフトウェアを構成する部品や供給元、各構成要素間の依存関係などを記録した情報を指す。

バグバウンティ運用では、脆弱性の通報者に報奨金を支払うことで、金融業界のソフトウェアに潜むゼロデイ脆弱性の発見や、セキュリティ上の見落としの抑制を目指す。あわせて、脆弱性の発見を促す取り組みとしての効果も見込む。ゼロデイ脆弱性とは、ソフトウェア開発会社が把握していない、あるいは把握していてもパッチや対策が整う前に攻撃者に悪用され得る脆弱性を指す。

パク・サンウォン院長は、「このプラットフォームを通じ、金融機関は自社ソフトウェアの脆弱性の現状や影響範囲を一目で把握し、対応の優先順位を合理的に定められるようになる。脆弱性管理の効率性と実効性をさらに高められることを期待している」と述べた。

その上で、「今後は金融当局もこのプラットフォームを通じて、金融業界全体のサプライチェーンセキュリティの状況を総合的に把握し、政策立案などに活用できるよう、継続的に高度化していく」と話した。