『SBOMを作っただけでは終わらない、今本当に整備すべき「脆弱性対応能力」とは』というテーマのウェビナーを開催

■SBOMの先で問われる「脆弱性対応能力」とは ── 2026年9月11日まで90日
　2026年9月11日、EUサイバーレジリエンス法（CRA）の報告義務がスタートします。本セミナー開催時点では、残り約90日。多くの企業がSBOM（ソフトウェア部品表）の整備を急いでいます。

　しかし、CRAが求めているのは、SBOMの提出だけではありません。

　・脆弱性報告窓口の公開・運用
　・悪用されている脆弱性への迅速な判断・通知
　・継続的なアップデート対応
　・これらを“再現可能に回せる”組織体制

　つまり問われているのは、「脆弱性を把握しているか」ではなく、「継続的に対応できる状態になっているか」です。

　さらに言えばCRAは、単なる規制対応ではなく、ソフトウェア製品として本来求められる品質を可視化したものとも言えます。

　今、求められているのは「脆弱性対応能力」という、新しい組織能力そのものです。

■脆弱性を把握しきれず、「判断できない」ことで止まる現場
　一部の企業では脆弱性診断やSBOM対応が進みつつある一方で、多くの現場では、

　・どこに脆弱性が存在するのか把握しきれない
　・検出結果があっても、何を優先すべきか判断できない
　・結果としてリリース可否が決められない
　・対応が属人化し、組織として回らない

　といった課題が発生しています。

　さらに問題なのは、複数ツール・複数レポジトリ・複数部門に分散した情報を、

　“一つのリスクとして統合して判断できていない”ことにあります。

　これは単なるツールや技術の問題ではなく、　「把握できない × 判断できない × 回せない」という構造的な問題です。

　そして今、多くの現場が、従来の“診断中心”のやり方だけでは成立しない領域に入り始めています。

■SBOMの先にある「運用」と「組織設計」をどう考えるべきか
　本セミナーでは、CRA対応を単なる規制対応ではなく、　「出荷後も脅威環境の変化に応答し続けられる製品品質」という視点から捉え直します。

　そのうえで、

　・なぜ脆弱性管理が止まるのか
　・なぜ組織として回らないのか
　・なぜ“判断できない状態”が生まれるのか

　といった構造を整理しながら、　SBOMの“その先”に必要となる、「判断」と「運用」の考え方を解説します。

　また、単にすべてへ対応するのではなく、　“今対応すべきリスクをどう見極めるか”という観点から、現実的な脆弱性対応の進め方についても触れていきます。

・ こんな立場の方／こんな課題を感じている方におすすめ

・製造業・組込機器・ソフトウェアベンダーで、欧州市場向け製品を持つ事業者
・製品のSBOM作成に尽力されているチームリーダー
・CRA対応を進める必要があるが、何から手を付けるべきか整理できていない
・脆弱性診断やSBOM対応は進めているが、リリース判断に自信が持てない
・検出結果はあるが、どれを優先すべきか判断できず手が止まっている
・OSS・委託開発・外部コードを含めたリスクを統合的に把握できていない
・属人化せず、組織として脆弱性管理を回す方法を具体化したい


・ 本セミナーで持ち帰れること

　CRA対応の本質は、「SBOMがあるかどうか」ではなく、「脆弱性管理を組織として回せているか」です。そしてその実現には、分断されたリスク情報を統合し、優先順位を判断し、継続的に回せる仕組みが不可欠です。“分かっているが動けない状態”から一歩進み、判定し、回せる状態をどう作るか。その具体的な第一歩を持ち帰りたい方は、ぜひご参加ください。
 

■主催・共催
 株式会社アスタリスク・リサーチ
■協力
 マジセミ株式会社

---

 マジセミは、今後も「参加者の役に立つ」ウェビナーを開催していきます。
 過去セミナーの公開資料、他の募集中セミナーは▶こちらでご覧いただけます。