サイバートラスト株式会社
~ SBOMインポート機能の強化により、多様なSBOMの統合管理を実現 ~
サイバートラスト株式会社(本社:東京都港区、代表取締役社長:北村 裕司 以下、サイバートラスト)は、サーバーやネットワーク機器に内在する脆弱性の可視化と対応を自動化する脆弱性管理ツール「MIRACLE Vul Hammer(ミラクル バル ハンマー)」の最新版を2024年10月29日より提供開始します。このたびの最新版はSaaSとして提供し、SBOMのインポート機能の強化により、複数のソフトウェアで構成されるシステムにおいて複数のベンダーから提供される異なる形式のSBOMを統合管理可能にします。SBOMを用いた効率的な脆弱性管理の導入をより容易に実現することにより、ソフトウェアサプライチェーンセキュリティ対策とシステム運用コストの削減を支援します。
<背景>
独立行政法人情報処理推進機構(IPA)が発表した「情報セキュリティ 10 大脅威 2024」※1 では、組織向けの脅威として、「ランサムウェアによる被害」に次いで「サプライチェーンの弱点を悪用した攻撃」が2年連続で2位となり、脆弱性を悪用したサイバー攻撃に関連した複数の脅威が上位にランキングされています。ソフトウェアのセキュリティ脅威が深刻化するのにともない、ソフトウェアに含まれる脆弱性や製品ライフサイクル終了の適切な管理など、サプライチェーンを通じて開発されるソフトウェアの管理を効率化するため、ソフトウェアとその依存関係のリストであるSBOM(Software Bill of Materials)※2 の活用が国内外で注目されています。日本においては、2024年1月31日にデジタル庁が公開した「政府情報システムにおけるセキュリティ・バイ・デザインガイドライン」※3 ではソフトウェアの構成管理の有用な手段としてSBOMが言及され、2024年8月29日に経済産業省が公開した「ソフトウェア管理に向けたSBOMの導入に関する手引 Ver. 2.0」※4 ではSBOMの導入のためのメリットの解説や活用のプラクティスが記載されており、SBOMに関するガイドラインの整備が進んでいます。
SBOMの導入にあたっては、SBOMを生成するツールによってフォーマットや含まれる情報が異なるため、利用組織がSBOMを受領した際にソフトウェアごとに管理することが難しいという課題があります。
MIRACLE Vul Hammerは、さまざまなLinuxやWindowsなどのソフトウェア、多様な言語ライブラリ、ネットワーク機器などのデバイスの脆弱性を高精度でスキャンし、各サーバーのパッチ適用状況の一元管理を実現する脆弱性管理ツールです。最新版はSaaSとして提供し、利用者の環境にツールを構築することなく申し込みから最短3営業日で利用可能です。従来より対応していたSBOMのインポート機能を強化し、ベンダーから提供される固有の拡張タグを含むさまざまなフォーマットのSBOMや、すでに管理されているシステム構成情報をCSVファイルやAPIで登録し、システム内のソフトウェアの脆弱性を可視化して脆弱性管理を行うことでシステムの運用コストの削減を支援します。登録したシステムの構成情報はMIRACLE Vul HammerでSBOM化し、JSON形式でエクスポート可能で、セキュリティガイドラインや調達基準の準拠のためにSBOMの提出が必要な場合にも活用できます。また、NVD(National Vulunerability Database)※5やOSV(Open Source Vulnerabilities)※6 など複数の脆弱性情報のデータベースと定期的に突合して脆弱性スキャンを実施し、検知した脆弱性情報をメールで通知することで脆弱性の早期発見を実現します。
■「MIRACLE Vul Hammer」の特長
- 多様なSBOMを統合管理
- - インポートした構成情報をSBOMとして生成し、JSON形式でエクスポートが可能
- - MIRACLE Vul Hammerで生成したSBOMだけでなく、固有の拡張タグを含む他社製ツールで生成したSBOMもインポート可能
- 既存の資産を流用
- - すでに管理されているシステム構成情報や監視ツールと連携し脆弱性管理を実現
- 脆弱性管理にかかる工数を削減
- - SBOMを活用することで、手動での管理と比較して管理工数を約70%低減※7
- 迅速な導入を実現
- - SaaSでの提供のため、申込手続き後最短3営業日で利用開始可能
サイバートラストは、今後もMIRACLE Vul Hammerを機能強化し、SBOMを活用した脆弱性の早期発見と効率的な脆弱性管理を実現することにより、企業システムのセキュアな運用を支援してまいります。
※1 出典「情報セキュリティ 10 大脅威 2024」
https://www.ipa.go.jp/security/10threats/10threats2024.html
※2 SBOM(Software Bill of Materials)とは:ソフトウェアに含まれるコンポーネントや依存関係、ライセンスの種類などをリスト化したソフトウェア部品表。ソフトウェアサプライチェーンにおいてトランスペアレンシー(透明性)とトレーサビリティ(追跡可能性)を確保するための有効な手段として、世界的に普及が進んでいます。
※3 出典「政府情報システムにおけるセキュリティ・バイ・デザインガイドライン」
https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/e2a06143-ed29-4f1d-9c31-0f06fca67afc/7e3e30b9/20240131_resources_standard_guidelines_guidelines_01.pdf
※4 出典「ソフトウェア管理に向けたSBOM の導入に関する手引 Ver. 2.0」
https://www.meti.go.jp/press/2024/08/20240829001/20240829001-1r.pdf
※5 NVD(National Vulunerability Database)とは:アメリカ国立標準技術研究所(NIST)が管理している各CVEを評価した結果のデータベース。
※6 OSV(Open Source Vulnerabilities)とは:Googleが公開しているオープンソースプロジェクトに関する脆弱性のデータベース。
※7 参考「ソフトウェア管理に向けたSBOM の導入に関する手引 Ver. 2.0」
■提供開始日
2024年10月29日
■関連Webサイト
MIRACLE Vul Hammer
https://www.cybertrust.co.jp/vul-hammer/
■サイバートラスト株式会社について
サイバートラストは、日本初の商用電子認証局として 25 年以上にわたり提供している認証・セキュリティサービスと、ミラクル・リナックスのカーネル技術やオープンソースソフトウェア(OSS)の知見を応用したオンプレミス、クラウド、組込み領域向けの Linux/OSS サービスを展開しています。また、これらの技術や実績を組み合わせ、IoT をはじめとする先端分野に向けて、「ヒト・モノ・コト」の正しさを証明し、お客様のサービスの信頼性を支えるサービスを推進しています。
「すべてのヒト、モノ、コトに信頼を」。サイバートラストは、IT インフラに関わる専門性・中立性の高い技術で、安心・安全な社会を実現します。
■本リリースのURL
https://www.cybertrust.co.jp/pressrelease/2024/1017-mvh-saas.html
* 本プレスリリースに記載されている会社名、製品名、サービス名は、当社または各社、各団体の商標もしくは登録商標です。