サイバートラストは2024年7月10日、組み込み/IoT機器の開発・製造企業に向けて、出荷後の製品に対して脆弱性の調査と対応を行う脆弱性調査サービスを提供開始した。医療機器や自動車向け機器などに内在する脆弱性を把握して深刻度を判定(トリアージ)するほか、脆弱性に起因するリスク対応を代行・支援する。
サイバートラストは、組み込み/IoT機器を開発・製造する企業に向けて、出荷後の製品に対して脆弱性の調査と対応を行う脆弱性調査サービスを提供開始した。同サービスにより、組み込み/IoT機器に内在する脆弱性を把握し、深刻度を判定(トリアージ)できるようになる。
発見した脆弱性に対し、非営利団体のMITRE(マイター)が割り当てているCVE(共通脆弱性識別子)を用いて調査する。脆弱性スキャンの結果からエンジニアが正確な該非判定を実施し、レポートを作成・提供する。また、脆弱性に起因するリスクへの対応を代行・支援する。
背景として同社は、IoT機器に対して脆弱性対応を義務づける規制や法令を挙げる。例えば、欧州で施行予定のセキュリティ規則「欧州サイバーレジリエンス法(Cyber Resilience Act:CRA)」や、経産省が2025年3月頃に開始する「IoT製品に対するセキュリティ適合性評価制度」がある。
「これらの規制の対象は、医療機器など特定用途の機器に限定されていた。今後は対象範囲が拡大し、一般的なIoT機器にも製品出荷後の脆弱性監視と対応が義務づけられる。対象機器を開発・製造する企業は、これらのセキュリティ標準への適合が必須になる」(同社)
機器の動作環境(Linuxの種類)に応じて、以下の2つのサービスを提供する。
「EMLinux カスタムメンテナンスサービス」は、10年以上利用可能なIoT機器向けLinux OS「EMLinux」が対象で、以下を提供する。(関連記事:IoT用途の組み込みOS新版「EMLinux 3.0」、標準形式のSBOMデータを出力可能に)。
- 定期的な脆弱性調査
- パッケージ更新による脆弱性対処
- 新規に検出された脆弱性などの報告書
「組込みLinux脆弱性調査サービス」は、EMLinux以外のLinuxが対象で、以下を提供する。
- システムが含む脆弱性を調査、報告
- 検出した脆弱性への対策(パッチ適用)を実施、リリース