サイバートラスト、欧州サイバーレジリエンス法で製造業者に求められる脆弱性の報告義務への対応を支援

サイバートラスト株式会社
2025年03月05日

サイバートラスト株式会社
～悪用されている脆弱性データベース（KEV）に対応して脆弱性の検知を可能にし、SBOMフォーマットを拡充～

サイバートラスト株式会社（本社：東京都港区、代表取締役社長：北村裕司　以下、サイバートラスト）は、サーバーやネットワーク機器に内在する脆弱性の可視化と対応を自動化する脆弱性管理ツール「MIRACLE Vul Hammer（ミラクルバルハンマー）」の最新版を2025年3月5日より提供開始します。このたびの最新版では、対応するデータベースを拡充し、実際に悪用されている脆弱性の検知を可能にしています。この機能拡充により、「欧州サイバーレジリエンス法（Cyber Resilience Act　以下、CRA）」でEU圏内に納品する製造業者に求められる脆弱性の報告義務に対する迅速な対応を支援します。また、インポートエクスポート可能なSBOM※1 のフォーマットを拡充しています。
＜背景＞
CRA (EU) 2024/2847※2 はEUで2026年9月より一部施行され、2027年12月に全面適応となるセキュリティ規則で、EU圏内で販売されるデジタル製品やデジタルの要素を含む全ての製品を対象に、セキュリティ要件の厳守を必要としています。
2026年9月より製造業者は、悪用されている脆弱性が確認された際に指定された期限内に指定機関へ報告対応が求められます。（第14条「メーカーの報告義務」）

MIRACLE Vul Hammerの最新版では、脆弱性が悪用されているかを把握するために以下のデータベースに対応しました。
● 脆弱性が悪用されたことを示すKEV※3
● 脆弱性が悪用される確率を示すEPSS※4

これにより、CRAにて定められている脆弱性の検知、報告義務の対応を支援します。
また、これまで対応していたSPDX※5 などのSBOMフォーマットに加えて、CycloneDX※6 のインポートエクスポート機能を実装しています。SBOMの主要な2つのフォーマットに対応したことで、より幅広い製品のSBOMを効果的に管理できるようになりました。SBOMを利用した脆弱性管理により、CRAなどの法規制やコンプライアンス要件への適切な対応を支援します。

サイバートラストは、今後もMIRACLE Vul Hammerを機能強化し、SBOMを活用した脆弱性の早期発見と効率的な脆弱性管理を実現することにより、ソフトウェアライフサイクルを通じたサプライチェーンセキュリティ対策とシステムの安全性維持を支援してまいります。

※1　SBOM（Software Bill of Materials）とは：ソフトウェアに含まれるコンポーネントや依存関係、ライセンスの種類などをリスト化したソフトウェア部品表。ソフトウェアサプライチェーンにおいてトランスペアレンシー（透明性）とトレーサビリティ（追跡可能性）を確保するための有効な手段として、世界的に普及が進んでいる。
※2　(EU) 2024/2847：医療・車・航空関連の製品を除く EU圏内で販売されるデジタル製品やデジタルの要素を含む全ての製品に求められるセキュリティ規則。https://eur-lex.europa.eu/eli/reg/2024/2847/oj/eng
※3　KEV (Known Exploited Vulnerabilities)とは： CISAが公開している実際に悪用されたことが確認されている脆弱性に関するデータベース。https://www.cisa.gov/known-exploited-vulnerabilities-catalog
※4　EPSS（The Exploit Prediction Scoring System）とは： FIRSTが公開する機械学習モデルによる「将来とその脆弱性が悪用される確率をまとめたデータベース。https://www.first.org/epss/
※5　SPDX（System Package Data Exchange）とは：ライセンスコンプライアンス管理を目的として開発されたLinux Foundation傘下のSPDX Projectが管理するSBOMフォーマット。2024年最新のバージョンではライセンスコンプライアンスだけでなくセキュリティやAIなどの様々なユースケースに対応している。https://spdx.dev/
※6　CycloneDXとは：セキュリティ管理を目的として開発されたOWASP傘下のCycloneDX Projectが管理するSBOMフォーマット。ソフトウェアサプライチェーンセキュリティの強化を図るため、暗号化に関する情報を含むCryptographic Bill of Materials（CBOM）、ハードウェア情報を含むHardware Bill of Materials（HBOM）、およびSaaS情報を含むSaaS Bill of Materials（SaaSBOM）など、さまざまなプラットフォームに対応している。https://cyclonedx.org/

■関連Webサイト
・MIRACLE Vul Hammer
・欧州サイバーレジリエンス法 (EU CRA) 支援ソリューション

■サイバートラスト株式会社について
サイバートラストは、日本初の商用電子認証局として25年以上にわたり提供している認証・セキュリティサービスと、ミラクル・リナックスのカーネル技術やオープンソースソフトウェア（OSS）の知見を応用したオンプレミス、クラウド、組込み領域向けのLinux/OSSサービスを展開しています。また、これらの技術や実績を組み合わせ、IoTをはじめとする先端分野に向けて、「ヒト・モノ・コト」の正しさを証明し、お客様のサービスの信頼性を支えるサービスを推進しています。
「すべてのヒト、モノ、コトに信頼を」。サイバートラストは、ITインフラに関わる専門性・中立性の高い技術で、安心・安全な社会を実現します。

■本リリースのURL
https://www.cybertrust.co.jp/pressrelease/2025/0305-mvh-cra.html

* 本プレスリリースに記載されている会社名、製品名、サービス名は、当社または各社、各団体の商標もしくは登録商標です。