2024年1月9日
株式会社日立製作所
日立は、サプライヤーから取得するソフトウェアの構成に関する詳細な情報が得られない場合でも、公開された脆弱性に関する情報を基に、AIを用いて自社で開発するソフトウェア製品の脆弱性を効率的に推定・評価できるモデルを開発しました。
本成果の一部は情報処理学会誌2023年12月号に掲載されました。
従来の脆弱性評価では、お客さまのインシデント対応チーム(PSIRT)*1がソフトウェアベンダーやセキュリティ機関がリリースする脆弱性レポート、パッチノート、セキュリティ勧告などを手作業で分析し、自社のソフトウェア製品に問題となるコンポーネントが含まれないか調査していました。今回、日立が提案する脆弱性評価モデルは、ナレッジグラフ*2データベース(DB)から製品に関連すると推定される脆弱性情報をAIを用いて自動抽出するプロセスと、その情報を用いてお客様のPSIRTが脆弱性を特定する2段階のプロセスで構成されます(図1)。
本手法を検証するために、公開された脆弱性データからナレッジグラフDBを作成し、製品に関連すると推定される脆弱性に関する情報を自動抽出する機能を開発しました。今後、さまざまな分野のお客さまのニーズを把握し、自然言語処理技術などを活用してWebサイトから脆弱性に関する情報を収集してナレッジグラフDBを構築する機能などを開発し、ソフトウェアサプライチェーンセキュリティ*3の強化に貢献していきます。
図1 ソフトウェアの脆弱性評価モデルのブロック図
