NRIセキュア、IoT製品等のセキュリティ事故を未然防止するための「デバイス脆弱性監視分析サービス」を提供開始
PR TIMES / 2023年8月24日 16時45分
製品構成情報の一元管理でSBOMの一助にも
NRIセキュアテクノロジーズ株式会社(以下、NRIセキュア)は、IoT(モノのインターネット)機器メーカーをはじめとする製造業向けに、「デバイス脆弱性監視分析サービス(以下、本サービス)」の提供を、本日開始します。本サービスでは、自社製品に含まれるオープンソースソフトウェア(OSS)[i]や、市販のソフトウェア(COTS)[ii]などを活用したサードパーティ製部品の脆弱性情報を、お客さまに代わりNRIセキュアが収集・分析します。
■PSIRTにおける脆弱性管理の重要性
製造業界では、自社製品に関連する情報セキュリティ事故(インシデント)の未然防止と、インシデント発生時の対応を目的とした専門チーム「PSIRT(Product Security Incident Response Team、ピーサート)」を社内に組織し、自社製品のセキュリティ向上に取り組んでいます。
このPSIRTでは、OSSやCOTS等の脆弱性の収集・分析も行いますが、サードパーティ製ソフトウェア部品の種類と数が年々増加する中、収集・分析にかかる作業負荷が増えています。一方で、サイバー攻撃は巧妙化しており、脆弱性を早期に発見し、深刻度を判定したうえで、緊急度の高い脆弱性に迅速に対処することが攻撃を防ぐうえでは重要です。
■本サービスの概要
本サービスは、IoT製品等に含まれるOSSやCOTS等のサードパーティ製ソフトウェア部品の既知の脆弱性(共通脆弱性識別子「CVE」が付与された脆弱性)を対象に、NRIセキュアが製品への脆弱性の影響を机上評価し、優先的に対応すべき脆弱性を抽出することで脆弱性管理サイクルの運用にかかる負担を軽減します。
図1:脆弱性管理サイクルの例
[画像1: https://prtimes.jp/i/52432/114/resize/d52432-114-afbac9ea7c070a7ae31e-0.jpg ]
本サービスの主な特長は、以下の3点です。
1.脆弱性管理の基礎となる製品構成情報の一元管理を支援
部門ごとに製品構成情報の粒度や内容が統一されていない場合に、導入企業に代わりNRIセキュアが製品構成情報を統一された形式に変換することで、脆弱性管理の基礎となる製品構成情報を一元管理できるようになります。
2.最新の脆弱性情報を効率的・網羅的に収集可能
米国国立標準技術研究所(NIST)[iii]が運営する脆弱性データベース「National Vulunerability Database(NVD)」をはじめとした、NRIセキュアが有する複数の情報ソースを利用し、サードパーティ製ソフトウェア部品に関する最新の脆弱性情報を効率的・網羅的に収集することができます。
3.発見された脆弱性の深刻度を判定、一次影響調査を実施
発見された脆弱性に対する、製品構成情報を踏まえた一次的な影響調査や、攻撃コードの有無の調査を行います。対策状況をあらかじめ確認しておくことで、調査範囲を限定し、現場担当者の負荷を軽減することができます。また、脆弱性の検知件数や緊急度をまとめた月次レポートを提供します。
図2:月次レポートのイメージ
[画像2: https://prtimes.jp/i/52432/114/resize/d52432-114-55cdea414b90ddfd009f-1.jpg ]
本サービスの詳細については、次のWebサイトをご参照ください。
https://www.nri-secure.co.jp/service/consulting/device-vulnerability-analysis
また、NRIセキュアでは、PSIRTの構築・高度化を計画立案から運用・改善・事故対応まで支援する、「組織内PSIRT向け支援サービス」も提供しています。詳細については、次のWebサイトをご参照ください。
https://www.nri-secure.co.jp/service/consulting/psirt
NRIセキュアは今後も、企業・組織の情報セキュリティ対策を支援するさまざまな製品・サービスを提供し、安全・安心な情報システム環境と社会の実現に貢献していきます。
[i] オープンソースソフトウェア(OSS):ソースコードが公開されている無料で使えるソフトウェアのことを指します。
[ii] 市販のソフトウェア(COTS):市販の製品やソフトウェアを指し、企業や組織が自社開発を行わずに製品の一部に組み込んで使用することができます。
[iii] 米国国立標準技術研究所(NIST):科学技術分野における計測と標準に関する研究を行うアメリカ商務省に属する政府機関です。
企業プレスリリース詳細へ
PR TIMESトップへ
この記事に関連するニュース
-
サイバートラストがAlmaLinuxのSBOMを活用しサイバー攻撃対策を強化
PR TIMES / 2024年7月23日 18時15分
-
サイバーセキュリティクラウド、脆弱性管理ツール『SIDfm VM』に「SBOM管理機能」を新たに追加
Digital PR Platform / 2024年7月23日 11時0分
-
NRIセキュア、認証情報等を安全に管理する「HashiCorp Vault」の取り扱いを開始
PR TIMES / 2024年7月22日 14時45分
-
ユビキタスAI、SBOM作成サービスの提供を開始
PR TIMES / 2024年7月10日 12時45分
-
製品ライフサイクル全体でセキュリティソリューションを提供
@Press / 2024年7月1日 11時0分
ランキング
-
1「なだ万」、オノデラに売却=外食から撤退―アサヒGHD
時事通信 / 2024年7月25日 21時11分
-
2昨年度の郵便事業896億円の営業赤字、前年度の4倍超…封書やはがき減収・集配や運送委託費増
読売新聞 / 2024年7月25日 18時13分
-
3再送-NY外為市場=円が対ドルで一時2カ月半ぶり高値、米GDP受け伸び悩み
ロイター / 2024年7月26日 6時40分
-
4基礎的財政収支が25年度に黒字化、内閣府が試算提示へ…税収増で8000億円程度の黒字見込み
読売新聞 / 2024年7月25日 22時15分
-
5RIZIN「手越祐也の国歌独唱を批判」は失礼なのか 手越が辞退し、選手に批判が集まっているが…
東洋経済オンライン / 2024年7月24日 19時30分
記事ミッション中・・・
記事にリアクションする
![](/pc/img/mission/mission_close_icon.png)
記事ミッション中・・・
記事にリアクションする
![](/pc/img/mission/point-loading.png)
エラーが発生しました
ページを再読み込みして
ください
![](/pc/img/mission/mission_close_icon.png)