OSSのセキュリティ対策強化に向け、サイバートラストの「MIRACLE Vul Hummer」に日立の「脆弱性検索エンジン」を提供
株式会社 日立製作所
サイバートラスト株式会社(以下、サイバートラスト)と株式会社日立製作所(以下、日立)は、高まるサイバー攻撃の脅威に対応するため、日立独自の「脆弱性検索エンジン」をサイバートラストの脆弱性管理ソリューション「MIRACLE Vul Hummer」に組み込むことで、管理対象システムのOSS*1利用情報と脆弱性情報を高い精度で照合し、脆弱性の有無を自動的に可視化・通知する機能を実現しました。これにより、これまで人手で行っていた照合作業の負担を軽減するとともに、脆弱性を早期に発見して迅速に対策を打つことで、サイバー攻撃のリスクを低減することが可能になります。
今後、日立は、「脆弱性検索エンジン」の精度向上や機能強化を進めるとともに、「PSIRTソリューション*2」などさまざまなセキュリティソリューションを提供することで、お客さまのサイバー攻撃への対策をトータルに支援し、安心・安全なビジネス環境の確保に貢献していきます。
*1 OSS:Open Source Software
*2 コンサルティングとプラットフォームの両面から、製品のセキュリティマネジメントをトータルで支援するソリューション
https://www.hitachi.co.jp/products/it/security/solution/cyber-security/productsecurity/index.html?site=press
■本取り組みの背景
近年、低コストで高品質なシステム開発に向け、OSSの利用が高まる一方で、脆弱性の発見件数が年々増加し、セキュリティリスクが増大しています。このリスクを低減するためには、自社システムで利用しているOSSの脆弱性情報を収集し、パッチ適用などのセキュリティ対策を継続的に実施する必要がありますが、特に危険性の高い脆弱性が発見された場合はより迅速な対応が求められます。
一方、毎年、リリースされるOSSのバージョンは数百万件、NVD*3やJVN*4で報告される脆弱性件数は一万件以上と膨大であるため、それらの情報収集並びにOSS利用情報と脆弱性情報との照合には非常に多くの工数を要することが想定されます。
*3 National Vulnerability Database:NIST(アメリカ国立標準技術研究所)が運営する脆弱性データベース
*4 Japan Vulnerability Notes:日本で流通・利用されているソフトウェアの脆弱性データベース
■本取り組みの内容
「MIRACLE Vul Hummer」は、大規模なシステムを管理・運用する企業向けに提供する、OSSやその他のソフトウェアの脆弱性管理を効率化するためのソリューションです。
サイバートラストは、日立の「脆弱性検索エンジン」を組み込んだ「MIRACLE Vul Hummer」を1月27日より販売開始します。対象システムで利用しているOSSを自動的に抽出する「MIRACLE Vul Hummer」のスキャン機能と、あいまい検索*5を可能にする「脆弱性検索エンジン」を組み合わせることで、OSSの棚卸から脆弱性情報との照合、対策が必要な機器の抽出までの一連の作業を自動的に実行することが可能になり、ソフトウェア管理業務の大幅な省力化を実現します。
*5 検索するキーワードと完全に一致していなくても、表記の異なりや同義語も含め柔軟に解釈して検索できる機能。
■脆弱性検索エンジンの主な特長
OSS利用情報と脆弱性情報はいずれも表記(ソフトウェア名称やバージョンなど)が統一されていないことが多く、その表記揺れのために単純な照合処理では精度の高い結果を得ることがきません。そこで、日立の「脆弱性検索エンジン」では、脆弱性情報の標準的なフォーマットを学習させた最適化アルゴリズムを搭載することで、表記揺れを吸収するあいまい検索を可能とし、高い精度の照合結果を実現します。日立の研究所で「脆弱性検索エンジン」の性能評価を実施した結果、75%以上の正答率、特にソフトウェアのバージョン情報については95%以上の正答率を確認しました*6。
*6 日立内研究データ使用時の実績値であり、すべての環境における効果を保証するものではありません。
関連Webサイト
・MIRACLE Vul Hummer
https://www.cybertrust.co.jp/zabbix/vul-hammer/index.html
商標関連
・本お知らせに記載の社名、商品名はすべて各社の登録商標または商標です。
お問い合わせ先
・株式会社日立製作所 サービスプラットフォーム事業本部 IoT・クラウドサービス事業部
https://www.hitachi.co.jp/it-pf/inq/NR/
以上