ウェビナーアーカイブ(動画・資料)
「動いていればいい」から抜け出す──開発成果物・OSSに潜む“脆弱性の見過ごしリスク”の可視...
4.2 株式会社アスタリスク・リサーチ
本セミナーはWebセミナーです
ツールはZoomを使います。URLは直前にメールにてご連絡いたします。 なお、「osslabo.com」「majisemi.com」からのメールが迷惑メールとならないよう、メールの設定をご確認ください。
本セミナーの講演部分は、2025年9月9日(火)に開催したセミナーの録画を配信します。
多数のご要望が寄せられましたので、追加開催させていただくものとなります。 質疑応答タイムはライブ配信にて、皆様からのご質問をお待ちしております。
「動いていればいい」では見過ごしてしまう開発成果物・OSSに潜む脆弱性
「欧州サイバーレジリエンス法(EU CRA)」への対応として「SBOM(ソフトウェア部品表)を出せ」と言われても、何をどう出すべきか、そもそもなぜそうすべきなのか──目的から手段までを一気通貫で理解・運用できている企業は、まだ多くありません。 多くの現場では、社内開発・委託開発を問わず開発成果物は“動いていればOK”として受け入れられ、OSSは「更新が来たから」となんとなくCVSSを見て適用されているのが現状です。しかしその一方で、セキュリティや品質について「なぜこのコードは大丈夫なのか」を説明する責任は、確実にIT部門や品質保証担当の肩にのしかかりはじめています。外部からの要請に備えた体制づくりは、開発手法やコードの入手経路にかかわらず、すべての成果物に対して必要になっているのです。
「説明できる開発」のため、開発成果物・OSSレビューを見直す必要性が高まる
それでも「ちゃんとやろう」とすると、プロセスのどこから手をつければよいのかが見えず、かえって足が止まってしまう──その感覚はよく分かります。脆弱性の深刻さは「CVSS(共通脆弱性評価システム)スコア」だけで判断できるものではありません。PoCコードの流通状況、KEVリストへの掲載、開発者や入手元の信頼性といった要素も、実害の優先順位に直結します。 また、コードそのものの質、たとえば、AI生成によるセキュリティ不在のコードや、デプロイコード(IaC)に含まれる各種シークレット(APIキーや認証情報)など、設定の不備が実害の起点になっていないかにも目を向ける必要があります。
「次年度のソフトウェアセキュリティ体制、どこから整えるべきか」──コード・AI生成・OSS・IaCのレビューから改革する戦術を解説
「なぜ安心できるのか」「なぜ改善できると確信できるか」。その問いに、現場として答えられる状態をどう作ればよいのでしょうか。 本セミナーでは、こうした現場の状況をスタート地点として、GartnerによるMagic Quadrant評価でもLeaderに位置する「Checkmarx CxOne」ツールを実際に動かしながら、セキュリティレビューと改善、ひいてはソフトウェアの透明性/責任追跡性を目指す体制の立て直しに必要な手立てを探っていきます。 「改善の手応えの実現」に着目したソフトウェア・セキュリティ保証体制に必要なことをご提供したいと思います。次年度の有効な組織的、技術的施策に加えられるヒントをお持ち帰りいただければ幸いです。
こんな方に聞いていただきたい
- 開発部門・プロダクトチームの立場から、外部委託コードなどの開発成果物やOSSの受け入れ基準に課題意識を持っている方
- セキュリティ部門・PSIRT・CISO室などで、導入済ツールの活用度やレビュー体制の実効性に疑問を感じている方
- SRE・運用・インフラの立場から、IaCやデプロイコードに潜むリスク管理の強化を検討している方
- 品質保証部門・技術企画部門などで、SBOMやSCAの導入/運用を検討または求められているが、実装の道筋に悩んでいる方
- 情報システム・情報セキュリティ統括部門の立場から、開発のスピードとセキュリティのバランスを再設計したい方
- 次年度の開発・運用体制強化やセキュリティ成熟度向上に向けて、計画・予算の検討責任を担っている方
プログラム
09:45~10:00 受付
10:00~10:05 オープニング(マジセミ)
10:05~10:45 「動いていればいい」から抜け出す──開発成果物・OSSに潜む“脆弱性の見過ごしリスク”の可視化と対策
10:45~11:00 質疑応答
※質疑応答タイムはライブ配信にて行います。
主催
株式会社アスタリスク・リサーチ(プライバシーポリシー)
協力
株式会社オープンソース活用研究所(プライバシーポリシー)
マジセミ株式会社(プライバシーポリシー)
※共催、協賛、協力、講演企業は将来的に追加、削除される可能性があります。
【2027年本格適用】いよいよ本格対応フェーズへ、欧州サイバーレジリエンス法(CRA) ~関...
4.0 株式会社オージス総研
本セミナーはWebセミナーです
ツールはZoomを使います。URLは直前にメールにてご連絡いたします。 なお、「osslabo.com」「majisemi.com」からのメールが迷惑メールとならないよう、メールの設定をご確認ください。
2027年本格適用、欧州サイバーレジリエンス法(CRA)
EUは2024年12月に「サイバーレジリエンス法(CRA)」を公布しました。2026年9月に脆弱性報告義務が始まり、2027年12月から全面適用されます。
本規制は一般消費者向け・産業向け等の幅広い製品が対象となり、企業は製品のセキュリティアセスメントや脆弱性対策など、様々なセキュリティ要件に準拠する必要があります。もし準拠しない場合は、EU市場で販売できなくなる恐れがあります。
CRAの適用範囲と求められる実務対応
CRAの適用範囲は広く、設計段階だけでなく、開発やリリース後のサポートまで製品ライフサイクル全体に及びます。セキュリティアセスメントの義務化により、開発者は初期段階から脅威分析を行う必要があります。また、SBOMの整備やリリース後の脆弱性モニタリング、定期的なアップデート提供も求められることになります。
そのため、企業にとっては一般的なセキュリティ規格の遵守だけでは不十分であり、ライフサイクル全体を見据えた包括的な対応が不可欠です。
整合規格は直前公開、先行準備が必須
しかしながら、CRAに関する整合規格や技術的要件は依然として不透明です。欧州標準化機関(CEN、CENELEC、ETSI)の委員会で検討が続いていますが、全面適用の時期が刻一刻と迫っているにもかかわらず、現時点では企業が準拠の目安とすべき具体的要件は示されていません。
現時点での見通しでは、整合規格の正式公開は段階的に行われる予定ですが、最も遅いものは2027年12月頃(以降と予測される)となっており、EU市場で製品を展開する企業は、要件の公開を待つ余裕はなく、先行的な準備が求められる状況です。
関連指令を手がかりに、今すぐ着手すべきポイントを読み解く
それでは、このように、整合規格の詳細が未だ不透明な現状で、企業は今、どのような準備を進めればよいのでしょうか。
本セミナーでは、CRA対応を迫られる経営層や開発部門の責任者、品質保証・セキュリティ担当者に向けて、法規制の背景や国内外の関連制度を整理し、CRAや関連するセキュリティ指令・規格との関係性を踏まえ、求められる対応事項を具体例とともに示し、企業が今備えるべき体制やプロセスを明らかにします。
オージス総研は、IoT機器や組み込みシステムの開発に携わる企業に対して、『コンサルティング』『診断』『開発』『研修トレーニング』など、幅広いソリューションを提供しています。欧州CRAに関しても、セキュリティ規格に準拠したリスクアセスメント支援を通じて、組織の課題解決をサポートします。
欧州CRA対応に課題を抱える方だけでなく、これから組み込み製品のセキュリティ対応を進めたい方全般にお薦めするセミナーです。
プログラム
10:45~11:00 受付
11:00~11:05 オープニング(マジセミ)
11:05~11:45 【2027年本格適用】いよいよ本格対応フェーズへ、欧州サイバーレジリエンス法(CRA)
11:45~12:00 質疑応答
主催
株式会社オージス総研(プライバシーポリシー)
協力
株式会社オープンソース活用研究所(プライバシーポリシー)
マジセミ株式会社(プライバシーポリシー)
※共催、協賛、協力、講演企業は将来的に追加、削除される可能性があります。
「動いていればいい」から抜け出す──開発成果物・OSSに潜む“脆弱性の見過ごしリスク”の可視...
3.8 株式会社アスタリスク・リサーチ
本セミナーはWebセミナーです
ツールはZoomを使います。URLは直前にメールにてご連絡いたします。 なお、「osslabo.com」「majisemi.com」からのメールが迷惑メールとならないよう、メールの設定をご確認ください。
「動いていればいい」では見過ごしてしまう開発成果物・OSSに潜む脆弱性
「欧州サイバーレジリエンス法(EU CRA)」への対応として「SBOM(ソフトウェア部品表)を出せ」と言われても、何をどう出すべきか、そもそもなぜそうすべきなのか──目的から手段までを一気通貫で理解・運用できている企業は、まだ多くありません。 多くの現場では、社内開発・委託開発を問わず開発成果物は“動いていればOK”として受け入れられ、OSSは「更新が来たから」となんとなくCVSSを見て適用されているのが現状です。しかしその一方で、セキュリティや品質について「なぜこのコードは大丈夫なのか」を説明する責任は、確実にIT部門や品質保証担当の肩にのしかかりはじめています。外部からの要請に備えた体制づくりは、開発手法やコードの入手経路にかかわらず、すべての成果物に対して必要になっているのです。
「説明できる開発」のため、開発成果物・OSSレビューを見直す必要性が高まる
それでも「ちゃんとやろう」とすると、プロセスのどこから手をつければよいのかが見えず、かえって足が止まってしまう──その感覚はよく分かります。脆弱性の深刻さは「CVSS(共通脆弱性評価システム)スコア」だけで判断できるものではありません。PoCコードの流通状況、KEVリストへの掲載、開発者や入手元の信頼性といった要素も、実害の優先順位に直結します。 また、コードそのものの質、たとえば、AI生成によるセキュリティ不在のコードや、デプロイコード(IaC)に含まれる各種シークレット(APIキーや認証情報)など、設定の不備が実害の起点になっていないかにも目を向ける必要があります。
「次年度のソフトウェアセキュリティ体制、どこから整えるべきか」──コード・AI生成・OSS・IaCのレビューから改革する戦術を解説
「なぜ安心できるのか」「なぜ改善できると確信できるか」。その問いに、現場として答えられる状態をどう作ればよいのでしょうか。 本セミナーでは、こうした現場の状況をスタート地点として、GartnerによるMagic Quadrant評価でもLeaderに位置する「Checkmarx CxOne」ツールを実際に動かしながら、セキュリティレビューと改善、ひいてはソフトウェアの透明性/責任追跡性を目指す体制の立て直しに必要な手立てを探っていきます。 「改善の手応えの実現」に着目したソフトウェア・セキュリティ保証体制に必要なことをご提供したいと思います。次年度の有効な組織的、技術的施策に加えられるヒントをお持ち帰りいただければ幸いです。
こんな方に聞いていただきたい
- 開発部門・プロダクトチームの立場から、外部委託コードなどの開発成果物やOSSの受け入れ基準に課題意識を持っている方
- セキュリティ部門・PSIRT・CISO室などで、導入済ツールの活用度やレビュー体制の実効性に疑問を感じている方
- SRE・運用・インフラの立場から、IaCやデプロイコードに潜むリスク管理の強化を検討している方
- 品質保証部門・技術企画部門などで、SBOMやSCAの導入/運用を検討または求められているが、実装の道筋に悩んでいる方
- 情報システム・情報セキュリティ統括部門の立場から、開発のスピードとセキュリティのバランスを再設計したい方
- 次年度の開発・運用体制強化やセキュリティ成熟度向上に向けて、計画・予算の検討責任を担っている方
プログラム
10:45~11:00 受付
11:00~11:05 オープニング(マジセミ)
11:05~11:45 「動いていればいい」から抜け出す──開発成果物・OSSに潜む“脆弱性の見過ごしリスク”の可視化と対策
11:45~12:00 質疑応答
主催
株式会社アスタリスク・リサーチ(プライバシーポリシー)
協力
株式会社オープンソース活用研究所(プライバシーポリシー)
マジセミ株式会社(プライバシーポリシー)
※共催、協賛、協力、講演企業は将来的に追加、削除される可能性があります。
