SBOMに対応した脆弱性監視サービス

◆NRIセキュアが提供するSBOMに対応した脆弱性監視サービス
お客様の製品等のソフトウェアのSBOMをもとに、NRIセキュアが脆弱性の監視・トリアージを行い、お客様のSBOMを活用した脆弱性管理プロセスの実施を支援します。

◆サービスの概要
本サービスは、お客様から製品等のソフトウェアのSBOMを提供いただき、NRIセキュアがSBOMをもとにお客様の製品等のソフトウェアの脆弱性の監視・トリアージを行い、検出された脆弱性情報およびそれらのトリアージ結果を含むレポートを提供します。製造業をはじめとする企業の品質保証部門やPSIRT(Product Security Incident Response Team)等が経済産業省が公表した「ソフトウェア管理に向けたSBOMの導入に関する手引ver 2.0(以下、手引書の改訂版)」に沿ったSBOMを活用した脆弱性管理プロセスの実施を支援します。

◆サービスの特長
1.幅広い種類の脆弱性情報の収集
脆弱性の監視(「手引書の改訂版」のプロセスの脆弱性特定フェーズ)の支援では、NRIセキュアがNVDやJVNをはじめとする脆弱性情報データベースに登録された情報の他、悪用が確認された脆弱性(KEV、Known Exploited Vulnerabilities)のカタログ、コンポーネントのEOL(End of Life)情報等の脆弱性情報を幅広く収集します。

2.最新の手法による効率的な脆弱性のトリアージ
脆弱性のトリアージ(「手引書の改訂版」のプロセスの脆弱性対応優先付けフェーズ)の支援では、CVSS(共通脆弱性評価システム)のスコアに加え、EPSS(Exploit Prediction Scoring System)のスコア、脆弱性の悪用やPoCコードの有無を組み合わせた優先度に基づきトリアージを行います。また、製造業をはじめとする企業向けにサプライヤーの決定木に対応したSSVC(Stakeholder-Specific Vulnerability Categorization)による トリアージも行います。

さらに、SBOMに含まれる依存関係の情報をもとに、 脆弱性情報が検出されたコンポーネントとそれを使用するトップレベルの依存関係にあるコンポーネントを出力することで、対応すべき対象 のコンポーネントを効率的に絞り込むことができます。

3.製品のソフトウェアのバージョンを横断した脆弱性の監視・トリアージ
製品のソフトウェアは仕様や仕向け先等の事情により複数のバージョンがリリースされる場合があります。本サービスでは、複数のバージョンを横断して脆弱性の監視・トリアージを行うことで、製品のリリース後に新たに発生する脆弱性の影響を受ける可能性があるソフトウェアのバージョンを把握することができます。

◆サービスの流れ
・本サービスの提供開始時に、お客様が生成した脆弱性の監視対象の製品等のソフトウェアのSBOMを提供いただきます。
・ソフトウェア管理台帳等のSBOMと同様の情報を含むデータの提供をご希望される場合も、ご相談に応じます。
・提供いただいたSBOMをもとに、NRIセキュアが脆弱性の監視・トリアージを行い、検出した脆弱性情報およびそれらのトリアージ結果を含むレポートを提供します。

◆料金
個別見積もり
監視対象の製品数により、料金が変動いたします。
詳細については、以下よりお気軽にお問い合わせください。