日立、脆弱性検索エンジンを「MIRACLE Vul Hammer」に提供--OSSのセキュリティ対策強化

NO BUDGET

2022-02-01 11:26

 日立製作所(日立)は、高まるサイバー攻撃の脅威に対応するため、同社独自の「脆弱性検索エンジン」をサイバートラストの脆弱性管理ソリューション「MIRACLE Vul Hammer」に組み込む。これにより管理対象システムのオープンソースソフトウェア(OSS)利用情報と脆弱性情報を高い精度で照合し、脆弱性の有無を自動的に可視化・通知する機能を実現できる。

 「MIRACLE Vul Hammer」は、大規模なシステムを管理・運用する企業向けに提供する、OSSやその他のソフトウェアの脆弱性管理を効率化するためのソリューション。サイバートラストは、日立の脆弱性検索エンジンを組み込んだMIRACLE Vul Hammerを販売開始している。

 日立の脆弱性検索エンジンでは、脆弱性情報の標準的なフォーマットを学習させた最適化アルゴリズムを搭載することで、表記揺れを吸収するあいまい検索を可能とし、高い精度の照合結果を実現する。これまでOSS利用情報と脆弱性情報はいずれも表記(ソフトウェア名称やバージョンなど)が統一されていないことが多く、その表記揺れのために単純な照合処理では精度の高い結果を得ることができなかった。

 日立の研究所で脆弱性検索エンジンの性能評価を実施した結果、75%以上の正答率、特にソフトウェアのバージョン情報については95%以上の正答率を確認できたという。

MIRACLE Vul Hammerの画面イメージ
MIRACLE Vul Hammerの画面イメージ

 OSS利用におけるセキュリティリスクが増大しているが、このリスクを低減するためには、自社システムで利用しているOSSの脆弱性情報を収集し、パッチ適用などのセキュリティ対策を継続的に実施する必要があり、特に危険性の高い脆弱性が発見された場合はより迅速な対応が求められる。

 一方、毎年、リリースされるOSSのバージョンは数百万件あり、米国立標準技術研究所(NIST)が運営する脆弱性データベースNational Vulnerability Database(NVD)や日本で流通・利用されているソフトウェアの脆弱性データベースJapan Vulnerability Notes(JVN)で報告される脆弱性件数は1万件以上と膨大であるため、それらの情報収集やOSS利用情報と脆弱性情報との照合には非常に多くの工数を要する。

 対象システムで利用しているOSSを自動的に抽出するMIRACLE Vul Hammerのスキャン機能と、あいまい検索を可能にする脆弱性検索エンジンを組み合わせることで、OSSの棚卸から脆弱性情報との照合、対策が必要な機器の抽出までの一連の作業を自動的に実行することが可能になり、ソフトウェア管理業務の大幅な省力化を実現する。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. 運用管理

    メールアラートは廃止すべき時が来た! IT運用担当者がゆとりを取り戻す5つの方法

  2. ビジネスアプリケーション

    新規アポ率が従来の20倍になった、中小企業のDX奮闘記--ツール活用と効率化がカギ

  3. セキュリティ

    AIサイバー攻撃の増加でフォーティネットが提言、高いセキュリティ意識を実現するトレーニングの重要性

  4. セキュリティ

    「どこから手を付ければよいかわからない」が約半数--セキュリティ運用の自動化導入に向けた実践ガイド

  5. ビジネスアプリケーション

    改めて知っておきたい、生成AI活用が期待される業務と3つのリスク

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]