製造業界では、自社製品に関連する情報セキュリティ事故(インシデント)の未然防止と、インシデント発生時の対応を目的とした専門チーム「PSIRT(Product Security Incident Response Team、ピーサート)」を社内に組織し、自社製品のセキュリティ向上に取り組むケースがある。
このPSIRTでは、OSSやCOTS等の脆弱性の収集・分析を行うが、サードパーティ製ソフトウェア部品の種類と数が年々増加する中、収集・分析にかかる作業負荷が増えているのだという。
こうした中、NRIセキュアテクノロジーズ株式会社(以下、NRIセキュア)は、IoT機器メーカをはじめとする製造業向けに、「デバイス脆弱性監視分析サービス」の提供を、2023年8月24日より開始した。
「デバイス脆弱性監視分析サービス」では、自社製品に含まれるオープンソースソフトウェア(OSS)や、市販のソフトウェア(COTS)などを活用したサードパーティ製部品の脆弱性情報を、NRIセキュアが収集・分析する。
具体的には、IoT製品等に含まれるOSSやCOTS等のサードパーティ製ソフトウェア部品の既知の脆弱性(共通脆弱性識別子「CVE」が付与された脆弱性)を対象に、NRIセキュアが製品への脆弱性の影響を机上評価し、優先的に対応すべき脆弱性を抽出する。
部門ごとに製品構成情報の粒度や内容が統一されていない場合には、導入企業に代わり、NRIセキュアが製品構成情報を統一された形式に変換することで、脆弱性管理の基礎となる製品構成情報を一元管理できるようにする。
また、米国国立標準技術研究所(NIST)が運営する脆弱性データベース「National Vulunerability Database(NVD)」をはじめとした、NRIセキュアが有する複数の情報ソースを利用し、サードパーティ製ソフトウェア部品に関する最新の脆弱性情報を収集する。
発見された脆弱性に対しては、製品構成情報を踏まえた一次的な影響調査や、攻撃コードの有無の調査を行う。
対策状況をあらかじめ確認しておくことで、調査範囲を限定する。加えて、脆弱性の検知件数や緊急度をまとめた月次レポートを提供する。
無料メルマガ会員に登録しませんか?
IoTNEWSは、毎日10-20本の新着ニュースを公開しております。 また、デジタル社会に必要な視点を養う、DIGITIDEという特集コンテンツも毎日投稿しております。
そこで、週一回配信される、無料のメールマガジン会員になっていただくと、記事一覧やオリジナルコンテンツの情報が取得可能となります。
- DXに関する最新ニュース
- 曜日代わりのデジタル社会の潮流を知る『DIGITIDE』
- 実践を重要視する方に聞く、インタビュー記事
- 業務改革に必要なDX手法などDXノウハウ
など、多岐にわたるテーマが配信されております。
また、無料メルマガ会員になると、会員限定のコンテンツも読むことができます。
無料メールから、気になるテーマの記事だけをピックアップして読んでいただけます。 ぜひ、無料のメールマガジンを購読して、貴社の取り組みに役立ててください。
無料メルマガ会員登録
IoTに関する様々な情報を取材し、皆様にお届けいたします。
