フューチャーは2024年11月26日、製造業向け脆弱性管理サービス「FutureVuls PSIRT」を発表した。同月から提供する。企業情報システム向け脆弱性管理サービス「FutureVuls」をベースに、自社製品のSBOM(ソフトウェア部品表)を管理する機能を強化した。
フューチャーの「FutureVuls PSIRT」は、製造業向けの脆弱性管理サービスである(図1)。企業情報システム向け脆弱性管理サービス「FutureVuls」をベースに、自社製品のSBOM(ソフトウェア部品表)を管理する機能を強化して製造業向けとした。開発にあたっては、情報提供や機能改善に向けた助言などで東芝が協力した。
図1:製造業向け脆弱性管理サービス「FutureVuls PSIRT」の概要(出典:フューチャー)拡大画像表示
ベースとなるFutureVulsは、ITシステムに含まれる脆弱性をスキャンして検出するソフトウェアである。クラウドサービスとして提供している。管理ポータル、チケット管理、パッチ適用など各種の運用管理機能を含んでいる(関連記事:フューチャー、OSSの脆弱性スキャナ「Vuls」でWindowsの脆弱性をスキャン可能に)。
上位版のFutureVuls CSIRTエディションでは、脆弱性評価のフレームワーク「SSVC」(Stakeholder-Specific Vulnerability Categorization)をベースとした自動トリアージエンジンを搭載し、対応優先度の判断から緊急度に合わせた対応指示までを全自動化している。
製造業向けに新たに用意したFutureVuls PSIRTは、製品に関連する脆弱性の特定、リスクの評価、製品担当者への指示まで、脆弱性管理に必要なプロセスを一括管理する。
特徴の1つは、SBOM管理機能を強化したこと。ソフトウェア情報を画面上から登録するだけで、SBOMファイルを自動生成し、エクスポートできるようにした。製品やソフトウェア単位でSBOMをインポートして、ひとつの製品情報として統合管理することも可能である。
また、自社製品に関わる脆弱性情報を一元化し、対応が必要な情報を漏れなく管理できるようにした。具体的には、公開されている脆弱性情報、第三者機関が提供した非公開の脆弱性情報、開発過程で発生した自社独自の脆弱性情報を取得し、これらをまとめて一元管理する。
