ソフトウェア供給網におけるマルチ脆弱性攻撃チェーンを、ソフトウェア・ビル・オブ・マテリアル（SBOM）グラフから予測するために

要旨: ソフトウェア供給網（サプライチェーン）のセキュリティ侵害は、多くの場合、脆弱性の連鎖的な相互作用—たとえば複数の脆弱なコンポーネント間の相互作用—によって引き起こされます。しかし、セキュリティ解析のためのソフトウェア・ビル・オブ・マテリアルズ（SBOM）ベースのパイプラインでは、一般にスキャナの検出結果が、独立した per-CVE（Common Vulnerabilities and Exposures：共通脆弱性識別子）記録として扱われます。我々は、新しい研究の方向性として、SBOMを駆動した独自のグラフ学習アプローチにより、多重脆弱性の攻撃連鎖（attack chain）を学習することを提案します。これは、SBOMの構造とスキャナ出力を、脆弱性の単なる一覧（フラットなリスト）ではなく、「依存関係制約付きの証拠グラフ」として扱うものです。既知の脆弱性情報を付与したCycloneDX SBOMを、不均質グラフとして表現し、ノードはソフトウェアコンポーネントと既知の脆弱性（すなわちCVE）を捉え、依存関係リンクや脆弱性リンクといった型付きの関係によって接続します。さらに、この構造に基づいて学習するための実現可能性チェックとして、Heterogeneous Graph Attention Network（HGAT）を訓練し、あるコンポーネントが少なくとも1つの既知の脆弱性に関連付けられるかどうかを予測します。加えて、連鎖的な脆弱性の発見を、文書化された多重脆弱性の連鎖で訓練した軽量なマルチレイヤ・パーセプトロン（MLP）ニューラルネットワークによるCVEペアのリンク予測として定式化します。Wild SBOMs公開データセットに含まれる実世界の200個のSBOMで検証したところ、HGATのコンポーネント分類器は91.03%のAccuracyと74.02%のF1-scoreを達成し、連鎖予測モデル（MLP）は、35件の文書化された攻撃連鎖からなるシード集合に対して、Receiver Operating Characteristic - Area Under Curve（ROC-AUC）を0.93としました。