2022年1月27日
株式会社日立製作所
サイバートラスト株式会社(以下、サイバートラスト)と株式会社日立製作所(以下、日立)は、高まるサイバー攻撃の脅威に対応するため、日立独自の「脆弱性検索エンジン」をサイバートラストの脆弱性管理ソリューション「MIRACLE Vul Hammer」に組み込むことで、管理対象システムのOSS*1利用情報と脆弱性情報を高い精度で照合し、脆弱性の有無を自動的に可視化・通知する機能を実現しました。これにより、これまで人手で行っていた照合作業の負担を軽減するとともに、脆弱性を早期に発見して迅速に対策を打つことで、サイバー攻撃のリスクを低減することが可能になります。
今後、日立は、「脆弱性検索エンジン」の精度向上や機能強化を進めるとともに、「PSIRTソリューション*2」などさまざまなセキュリティソリューションを提供することで、お客さまのサイバー攻撃への対策をトータルに支援し、安心・安全なビジネス環境の確保に貢献していきます。
近年、低コストで高品質なシステム開発に向け、OSSの利用が高まる一方で、脆弱性の発見件数が年々増加し、セキュリティリスクが増大しています。このリスクを低減するためには、自社システムで利用しているOSSの脆弱性情報を収集し、パッチ適用などのセキュリティ対策を継続的に実施する必要がありますが、特に危険性の高い脆弱性が発見された場合はより迅速な対応が求められます。
一方、毎年、リリースされるOSSのバージョンは数百万件、NVD*3やJVN*4で報告される脆弱性件数は一万件以上と膨大であるため、それらの情報収集並びにOSS利用情報と脆弱性情報との照合には非常に多くの工数を要することが想定されます。
「MIRACLE Vul Hammer」は、大規模なシステムを管理・運用する企業向けに提供する、OSSやその他のソフトウェアの脆弱性管理を効率化するためのソリューションです。
サイバートラストは、日立の「脆弱性検索エンジン」を組み込んだ「MIRACLE Vul Hammer」を1月27日より販売開始します。対象システムで利用しているOSSを自動的に抽出する「MIRACLE Vul Hammer」のスキャン機能と、あいまい検索*5を可能にする「脆弱性検索エンジン」を組み合わせることで、OSSの棚卸から脆弱性情報との照合、対策が必要な機器の抽出までの一連の作業を自動的に実行することが可能になり、ソフトウェア管理業務の大幅な省力化を実現します。
OSS利用情報と脆弱性情報はいずれも表記(ソフトウェア名称やバージョンなど)が統一されていないことが多く、その表記揺れのために単純な照合処理では精度の高い結果を得ることがきません。そこで、日立の「脆弱性検索エンジン」では、脆弱性情報の標準的なフォーマットを学習させた最適化アルゴリズムを搭載することで、表記揺れを吸収するあいまい検索を可能とし、高い精度の照合結果を実現します。日立の研究所で「脆弱性検索エンジン」の性能評価を実施した結果、75%以上の正答率、特にソフトウェアのバージョン情報については95%以上の正答率を確認しました*6。
「MIRACLE Vul Hammer」の画面イメージ
本お知らせに記載の社名、商品名はすべて各社の登録商標または商標です。
以上
