[新製品・サービス]
脆弱性管理「MIRACLE Vul Hammer」新版、参照するDBを拡充して欧州法規制に対応
2025年3月5日(水)日川 佳三(IT Leaders編集部)
サイバートラストは2025年3月5日、脆弱性管理ソフトウェア「MIRACLE Vul Hammer」の新版を提供開始した。新版では、参照する脆弱性データベースを拡充し、実際に悪用されている脆弱性を検知できるようにした。これにより、欧州に納品する製造業者に付随する脆弱性報告義務を支援する。また、インポート/エクスポート可能なSBOMのフォーマットを拡充した。
サイバートラストの「MIRACLE Vul Hammer」は、構成するOSやソフトウェアの脆弱性を調べて可視化する脆弱性管理ソフトウェアである。
Linuxなどオープンソースソフトウェアを中心に、ソフトウェアの脆弱性管理を自動化・効率化する。「脆弱性を含んだバージョンのソフトウェアを使っているか」「脆弱性を修正する更新プログラムを適用しているか」などが分かる。
旧版(ソフトウェア版)と現行版(SaaS版)を提供している。SaaS版の場合、オンプレミスで環境を構築することなく、申し込みから最短3営業日で利用を始められる(関連記事:脆弱性管理「MIRACLE Vul Hammer」にSaaS版、ベンダー固有タグを含むSBOMも取込可能に)。
新版では、参照する脆弱性データベースを拡充し、実際に悪用されている脆弱性を検知できるようにした。これにより、欧州サイバーレジリエンス法に準拠する。欧州に納品する製造業者は2026年9月から、悪用されている脆弱性が確認された際、指定された期限内に指定機関へ報告する必要があることを受けて機能を強化した。
追加した脆弱性データベースは2つ。実際に悪用されたことが確認されている脆弱性を収録するCISAの「KEV(Known Exploited Vulnerabilities)」と、マシンラーニング(機械学習)を用いて脆弱性が将来悪用されるリスクをスコアリングするFIRSTの「EPSS(The Exploit Prediction Scoring System)」である。
新版ではまた、インポート/エクスポート可能なSBOM(ソフトウェア部品表)のフォーマットを拡充した。SPDXに加えて、CycloneDX形式のインポート/エクスポート機能を実装した。SBOMの主要な2大フォーマットに対応したことで、幅広い製品のSBOMを効果的に管理できるようになった。
SBOMは、ソフトウェアを構成するコンポーネントやライセンスの構成情報を記したデータである。SBOMを参照することでソフトウェアがどんなライブラリを利用しているのかが分かり、ライブラリの脆弱性を検出できる(関連記事:サイバートラスト、脆弱性管理「MIRACLE Vul Hammer V4」を提供、SBOMでライブラリ全体を検査)。
