日立製作所(日立)は、高まるサイバー攻撃の脅威に対応するため、同社独自の「脆弱性検索エンジン」をサイバートラストの脆弱性管理ソリューション「MIRACLE Vul Hammer」に組み込む。これにより管理対象システムのオープンソースソフトウェア(OSS)利用情報と脆弱性情報を高い精度で照合し、脆弱性の有無を自動的に可視化・通知する機能を実現できる。
「MIRACLE Vul Hammer」は、大規模なシステムを管理・運用する企業向けに提供する、OSSやその他のソフトウェアの脆弱性管理を効率化するためのソリューション。サイバートラストは、日立の脆弱性検索エンジンを組み込んだMIRACLE Vul Hammerを販売開始している。
日立の脆弱性検索エンジンでは、脆弱性情報の標準的なフォーマットを学習させた最適化アルゴリズムを搭載することで、表記揺れを吸収するあいまい検索を可能とし、高い精度の照合結果を実現する。これまでOSS利用情報と脆弱性情報はいずれも表記(ソフトウェア名称やバージョンなど)が統一されていないことが多く、その表記揺れのために単純な照合処理では精度の高い結果を得ることができなかった。
日立の研究所で脆弱性検索エンジンの性能評価を実施した結果、75%以上の正答率、特にソフトウェアのバージョン情報については95%以上の正答率を確認できたという。
MIRACLE Vul Hammerの画面イメージ
OSS利用におけるセキュリティリスクが増大しているが、このリスクを低減するためには、自社システムで利用しているOSSの脆弱性情報を収集し、パッチ適用などのセキュリティ対策を継続的に実施する必要があり、特に危険性の高い脆弱性が発見された場合はより迅速な対応が求められる。
一方、毎年、リリースされるOSSのバージョンは数百万件あり、米国立標準技術研究所(NIST)が運営する脆弱性データベースNational Vulnerability Database(NVD)や日本で流通・利用されているソフトウェアの脆弱性データベースJapan Vulnerability Notes(JVN)で報告される脆弱性件数は1万件以上と膨大であるため、それらの情報収集やOSS利用情報と脆弱性情報との照合には非常に多くの工数を要する。
対象システムで利用しているOSSを自動的に抽出するMIRACLE Vul Hammerのスキャン機能と、あいまい検索を可能にする脆弱性検索エンジンを組み合わせることで、OSSの棚卸から脆弱性情報との照合、対策が必要な機器の抽出までの一連の作業を自動的に実行することが可能になり、ソフトウェア管理業務の大幅な省力化を実現する。