『SBOMを作っただけでは終わらない、今本当に整備すべき「脆弱性対応能力」とは』というテーマのウェビナーを開催

## SBOMの先で問われる「脆弱性対応能力」とは
2026年9月11日、EUサイバーレジリエンス法（CRA）の報告義務がスタートします。本セミナー開催時点では、残り約90日。多くの企業がSBOM（ソフトウェア部品表）の整備を急いでいます。

しかし、CRAが求めているのは、SBOMの提出だけではありません。
- 脆弱性報告窓口の公開・運用
- 悪用されている脆弱性への迅速な判断・通知
- 継続的なアップデート対応
- これらを“再現可能に回せる”組織体制

つまり問われているのは、「脆弱性を把握しているか」ではなく、「継続的に対応できる状態になっているか」です。CRAは、ソフトウェア製品として本来求められる品質を可視化したものとも言えます。今、求められているのは「脆弱性対応能力」という、新しい組織能力そのものです。

## 脆弱性を把握しきれず、「判断できない」ことで止まる現場
多くの現場では以下のような課題が発生しています。
- どこに脆弱性が存在するのか把握しきれない
- 検出結果があっても、何を優先すべきか判断できない
- 結果としてリリース可否が決められない
- 対応が属人化し、組織として回らない

これらは単なるツールや技術の問題ではなく、「把握できない × 判断できない × 回せない」という構造的な問題です。従来の“診断中心”のやり方だけでは成立しない領域に入り始めています。

## SBOMの先にある「運用」と「組織設計」をどう考えるべきか
本セミナーでは、CRA対応を「出荷後も脅威環境の変化に応答し続けられる製品品質」という視点から捉え直します。なぜ脆弱性管理が止まるのか、なぜ組織として回らないのかという構造を整理しながら、SBOMの“その先”に必要となる「判断」と「運用」の考え方を解説します。

- 対象：製造業・組込機器・ソフトウェアベンダーで、欧州市場向け製品を持つ事業者など
- 内容：リスクの統合把握、優先順位の判断、継続的な運用体制の構築

主催：株式会社アスタリスク・リサーチ
協力：マジセミ株式会社