製品構成情報の一元管理でSBOMの一助にも
■PSIRTにおける脆弱性管理の重要性
製造業界では、自社製品に関連する情報セキュリティ事故(インシデント)の未然防止と、インシデント発生時の対応を目的とした専門チーム「PSIRT(Product Security Incident Response Team、ピーサート)」を社内に組織し、自社製品のセキュリティ向上に取り組んでいます。
このPSIRTでは、OSSやCOTS等の脆弱性の収集・分析も行いますが、サードパーティ製ソフトウェア部品の種類と数が年々増加する中、収集・分析にかかる作業負荷が増えています。一方で、サイバー攻撃は巧妙化しており、脆弱性を早期に発見し、深刻度を判定したうえで、緊急度の高い脆弱性に迅速に対処することが攻撃を防ぐうえでは重要です。
■本サービスの概要
本サービスは、IoT製品等に含まれるOSSやCOTS等のサードパーティ製ソフトウェア部品の既知の脆弱性(共通脆弱性識別子「CVE」が付与された脆弱性)を対象に、NRIセキュアが製品への脆弱性の影響を机上評価し、優先的に対応すべき脆弱性を抽出することで脆弱性管理サイクルの運用にかかる負担を軽減します。
図1:脆弱性管理サイクルの例
本サービスの主な特長は、以下の3点です。
1.脆弱性管理の基礎となる製品構成情報の一元管理を支援
部門ごとに製品構成情報の粒度や内容が統一されていない場合に、導入企業に代わりNRIセキュアが製品構成情報を統一された形式に変換することで、脆弱性管理の基礎となる製品構成情報を一元管理できるようになります。
2.最新の脆弱性情報を効率的・網羅的に収集可能
米国国立標準技術研究所(NIST)[iii]が運営する脆弱性データベース「National Vulunerability Database(NVD)」をはじめとした、NRIセキュアが有する複数の情報ソースを利用し、サードパーティ製ソフトウェア部品に関する最新の脆弱性情報を効率的・網羅的に収集することができます。
3.発見された脆弱性の深刻度を判定、一次影響調査を実施
発見された脆弱性に対する、製品構成情報を踏まえた一次的な影響調査や、攻撃コードの有無の調査を行います。対策状況をあらかじめ確認しておくことで、調査範囲を限定し、現場担当者の負荷を軽減することができます。また、脆弱性の検知件数や緊急度をまとめた月次レポートを提供します。
図2:月次レポートのイメージ
本サービスの詳細については、次のWebサイトをご参照ください。
https://www.nri-secure.co.jp/service/consulting/device-vulnerability-analysis
また、NRIセキュアでは、PSIRTの構築・高度化を計画立案から運用・改善・事故対応まで支援する、「組織内PSIRT向け支援サービス」も提供しています。詳細については、次のWebサイトをご参照ください。
https://www.nri-secure.co.jp/service/consulting/psirt
NRIセキュアは今後も、企業・組織の情報セキュリティ対策を支援するさまざまな製品・サービスを提供し、安全・安心な情報システム環境と社会の実現に貢献していきます。
[i] オープンソースソフトウェア(OSS):ソースコードが公開されている無料で使えるソフトウェアのことを指します。
[ii] 市販のソフトウェア(COTS):市販の製品やソフトウェアを指し、企業や組織が自社開発を行わずに製品の一部に組み込んで使用することができます。
[iii] 米国国立標準技術研究所(NIST):科学技術分野における計測と標準に関する研究を行うアメリカ商務省に属する政府機関です。