NRIセキュアテクノロジーズは2024年12月19日、マネージドセキュリティサービス「SBOMに対応した脆弱性監視サービス」を提供開始した。SBOM(ソフトウェア部品表)を活用してソフトウェアに含まれる脆弱性を監視・特定・トリアージし、レポートを提供する。
NRIセキュアテクノロジーズの「SBOMに対応した脆弱性監視サービス」は、SBOM(ソフトウェア部品表)を活用した脆弱性管理のマネージドセキュリティサービスである。NRIセキュアがSBOMを用いて脆弱性を監視・特定・トリアージし、レポートを提供する。経済産業省の「ソフトウェア管理に向けたSBOMの導入に関する手引ver 2.0(手引書の改訂版)」に沿った脆弱性管理を実施する(図1)。
図1:「SBOMに対応した脆弱性監視サービス」の概要(出典:NRIセキュアテクノロジーズ)拡大画像表示
SBOM(Software Bill of Materials)は、製品を構成するソフトウェアに含まれるオープンソースソフトウェア(OSS)ライブラリ(ソフトウェア部品)や、それらの依存関係などを一覧表で管理する手法のこと。ソフトウェアサプライチェーン全体のセキュリティ対策において注目されている。
NRIセキュアは同サービス提供の理由として、「SBOMを導入すると、ソフトウェアが利用しているライブラリなどを正確に把握できる一方、脆弱性監視の対象が増え、情報の収集にかかる負担が大きくなる。また、脆弱性のトリアージや対応にはセキュリティのスキルが求められる」という課題を挙げている。以下を提供することで、こうした課題を解決するという。
脆弱性監視(脆弱性特定フェーズ)の支援
NVDやJVNといった脆弱性情報データベースのほか、悪用を確認した脆弱性(KEV)のカタログ、コンポーネントのEOL(End of Life)情報などの脆弱性情報を広範に収集する。厚生労働省の「医療機器のサイバーセキュリティ導入に関する手引書(第2版)」などが求める脆弱性情報の収集が可能としている。
脆弱性トリアージ(対応すべき脆弱性の優先順位づけフェーズ)の支援
脆弱性の深刻度を評価するCVSS(共通脆弱性評価システム)スコアに加えて、脆弱性の悪用可能性を示すFIRSTのEPSS(Exploit Prediction Scoring System)スコア、PoCコード(システムの脆弱性やセキュリティホールの存在、悪用可能性を証明するための検証用プログラムコード)、脆弱性悪用の実態の有無から優先度を判定する。脆弱性評価・優先度付け手法のSSVC(Stakeholder-Specific Vulnerability Categorization)を用いたトリアージを行う。
上記に加えて、SBOMによる依存関係の情報から、脆弱性情報を検出したコンポーネントと、それを使用するトップレベルの依存関係にあるコンポーネントを出力することで対象のコンポーネントを効率的に絞り込む。
また、脆弱性の影響を受ける可能性があるソフトウェアのバージョンを把握し、複数のバージョンを横断した脆弱性の監視/トリアージが可能である。「出荷先の要望や規制などにより、仕様や機能が異なる複数のバージョンがリリースされる場合があり、全バージョンを対象に脆弱性を管理する必要がある」(NRIセキュア)。
NRIセキュアテクノロジーズ / SBOM / 脆弱性管理 / MSS / マネージドサービス
