[新製品・サービス]

2024年7月10日(水)IT Leaders編集部、日川 佳三

リスト

　サイバートラストは、組み込み/IoT機器を開発・製造する企業に向けて、出荷後の製品に対して脆弱性の調査と対応を行う脆弱性調査サービスを提供開始した。同サービスにより、組み込み/IoT機器に内在する脆弱性を把握し、深刻度を判定（トリアージ）できるようになる。

　発見した脆弱性に対し、非営利団体のMITRE（マイター）が割り当てているCVE（共通脆弱性識別子）を用いて調査する。脆弱性スキャンの結果からエンジニアが正確な該非判定を実施し、レポートを作成・提供する。また、脆弱性に起因するリスクへの対応を代行・支援する。

　背景として同社は、IoT機器に対して脆弱性対応を義務づける規制や法令を挙げる。例えば、欧州で施行予定のセキュリティ規則「欧州サイバーレジリエンス法（Cyber Resilience Act：CRA）」や、経産省が2025年3月頃に開始する「IoT製品に対するセキュリティ適合性評価制度」がある。

　「これらの規制の対象は、医療機器など特定用途の機器に限定されていた。今後は対象範囲が拡大し、一般的なIoT機器にも製品出荷後の脆弱性監視と対応が義務づけられる。対象機器を開発・製造する企業は、これらのセキュリティ標準への適合が必須になる」（同社）

　機器の動作環境（Linuxの種類）に応じて、以下の2つのサービスを提供する。

　「EMLinux カスタムメンテナンスサービス」（図1）は、10年以上利用可能なIoT機器向けLinux OS「EMLinux」が対象で、以下を提供する。（関連記事：IoT用途の組み込みOS新版「EMLinux 3.0」、標準形式のSBOMデータを出力可能に）。

• 定期的な脆弱性調査
• パッケージ更新による脆弱性対処
• 新規に検出された脆弱性などの報告書
  図1：「EMLinux カスタムメンテナンスサービス」の概要（出典：サイバートラスト）
  拡大画像表示

　「組込みLinux脆弱性調査サービス」は、EMLinux以外のLinuxが対象で、以下を提供する。

• システムが含む脆弱性を調査、報告
• 検出した脆弱性への対策（パッチ適用）を実施、リリース