採用情報

お問い合わせ

BLOG

  1. HOME
  2. BLOG
  3. Linux/OSS ソリューションブログ
  4. 統合システム監視
  5. 脆弱性管理 BLOG
  6. MIRACLE Vul Hammer で SBOM を用いた脆弱性管理

脆弱性管理 BLOG

2023 年 01 月 19 日

MIRACLE Vul Hammer で SBOM を用いた脆弱性管理

本ブログでは、脆弱性管理と SBOM (Software Bill Of Materials) の活用について記載します。
運用するシステムの構成情報として SBOM を利用することでソフトウェアに依存するコンポーネントの把握が可能です。そして、それらのコンポーネントの情報を脆弱性管理に活用することで、効率の良いシステム管理を行なうことが可能になります。

SBOM とは

近年 OSS を含むコードの割合が 9 割を占める一方で、ライセンス違反やメンテナンス状況を把握していなかったり、依存するパッケージやライブラリを把握していなかったりなどの OSS 管理における問題があります。これによって、利用している OSS に脆弱性が発見された際に、対処が遅れてしまい、脆弱性を悪用した攻撃につながってしまうケースが近年では増加しています。

Log4j の問題 が記憶に新しいでしょう。

SBOM とは、ソフトウェアやシステムを構成するライブラリ等のソフトウェアの構成情報です。 近年増加しているソフトウェアのサプライチェーン問題や、ライセンスコンプライアンス問題などのリスクを可視化することができます。

2022 年 9 月、米国では政府機関が調達するソフトウェアに対し、セキュリティ対策を強化するガイダンスが発表されました。※1 この中でもソフトウェアサプライチェーンのセキュリティガイドラインの遵守が触れられており、推奨されるベストプラクティスの一つに SBOM が含まれています。※2

MIRACLE Vul Hammer で SBOM を活用した脆弱性管理

MIRACLE Vul Hammer は、脆弱性対策の導入・運用コストを削減することの可能な脆弱性管理ツールです。ソフトウェアの脆弱性を可視化して、ユーザポリシーに沿った優先度付けを行い、脆弱性修正、対応までを管理することができます ( 図 1)。

図 1. MIRACLE Vul Hammer における脆弱性の可視化

図 1. MIRACLE Vul Hammer における脆弱性の可視化

MIRACLE Vul Hammer では、V4 より SBOM をインポートする機能が追加されました。これにより、該当するソフトウェアコンポーネントの一覧を管理対象のソフトウェアとして MIRACLE Vul Hammer に登録し、脆弱性スキャンを行うことで関連する脆弱性を可視化することができます。

図 2 は MIRACLE Vul Hammer 自身のパッケージの SBOM をインポートする例です。
パッケージ名、バージョンをインポートし、スキャンするソフトウェアとして登録します。

図 1. MIRACLE Vul Hammer における脆弱性の可視化

図 2. MIRACLE Vul Hammer における SBOM のインポート

SBOM を脆弱性管理で活用する例として下記に 2 点あげます。

・社内で運用しているシステムの脆弱性管理
・自社製品の脆弱性管理

社内で運用しているシステムの脆弱性管理

Log4j の脆弱性による攻撃が大きく話題になった際に、そもそも運用しているシステムに Log4j が利用されているのかを把握していないことが問題視されました。
これを解決するためにも、運用するシステムの構成情報として SBOM を活用することで、利用しているソフトウェアと、その依存関係にあるコンポーネントの脆弱性も合わせて管理することができます。今後、ソフトウェアの提供者に SBOM の作成が義務化されるにあたって、公式の SBOM を活用して運用しているシステムを把握することが重要となります。

SBOM を活用して運用しているシステム

提供する自社製品・自社サービスの脆弱性管理

近年では、サプライチェーン問題の対策として、自社製品・自社サービスに対するセキュリティインシデント対応の体制として、PSIRT が求められています。中でも、インシデントハンドリングや、予防、点検 / アセスメントのために必要なのが脆弱性管理です。

自社製品に関連するソフトウェアの SBOM を活用、あるいは作成し、活用することで、依存するソフトウェア・コンポーネントも含めて脆弱性管理を行なうことができます。

自社製品に関連するソフトウェアの SBOM を活用

このように、現在はソフトウェアやサービスを運用する立場と提供する立場のどちらにも脆弱性管理が求められています。そしてその両方でソフトウェアの構成情報として SBOM を脆弱性管理ツールへ紐づけることで、依存するソフトウェア・コンポーネントの把握に活用することができます。

サイバートラストでは、The Linux Foundation の OpenSSF※3 が推進する OSS のセキュリティ強化に関する 3 つの目標と 10 項目の動員プランに取り組んでいます。※4 10 項目の動員プランでの SBOM に関連する項目として「 SBOM の普及」が含まれており、サイバートラストでは、SBOM 利用状況情報のフィードバック、自社製品、サービスとの SBOM 連携の強化、提供を行ないます。今後も MIRACLE Vul Hammer では継続して SBOM を活用する機能を提供する予定です。

SBOM を活用した脆弱性管理

SBOM や オープンソースセキュリティの動向について

MIRACLE Vul Hammer についての詳細は こちら をご参照ください。

MIRACLE Vul Hammer 評価版のダウンロードはこちら

 

※1
https://www.jetro.go.jp/biznews/2022/09/e43da89f71ddf4b3.html
※2
https://www.nist.gov/itl/executive-order-14028-improving-nations-cybersecurity/software-security-supply-chains-software-1
※3
Linux Foundation 下で進められているオープンソースソフトウェアのセキュリティ強化を目的として活動するグローバルコミュニティ。
※4
https://www.cybertrust.co.jp/pressrelease/2022/1024-oss-security-mobilization-plan.html
関連記事
MIRACLE Vul Hammer 脆弱性管理ツール「MIRACLE Vul Hammer(ミラクル・バル・ハンマー)」
< 前の記事へ
脆弱性の評価基準 CVSS の活用
次の記事へ >
MIRACLE Vul Hammer V4 を構築してみよう ~手順を詳しく解説!
最新 BLOG 記事
2024 年 1〜2 月の脅威動向と代表的な攻撃(後編)
2024 年 1〜2 月の脅威動向と代表的な攻撃(後編)
2024 年 04 月 15 日
CentOS 7 メンテナンス終了と、従来型 CentOS 完全終了の注意喚起
CentOS 7 メンテナンス終了と、従来型 CentOS 完全終了の注意喚起
2024 年 03 月 26 日
2024 年 1〜2 月の脅威動向と代表的な攻撃(前編)
2024 年 1〜2 月の脅威動向と代表的な攻撃(前編)
2024 年 03 月 26 日
VMware ESXi 無償版提供終了: AlmaLinuxとKVM による代替手段について考えてみる
VMware ESXi 無償版提供終了: AlmaLinuxとKVM による代替手段について考えてみる
2024 年 03 月 11 日
CentOS7メンテナンス終了に関する注意喚起
CentOS7メンテナンス終了に関する注意喚起
2024 年 03 月 04 日
2023 年 11 〜 12 月の脅威動向と代表的な攻撃(後編)
2023 年 11 〜 12 月の脅威動向と代表的な攻撃(後編)
2024 年 02 月 15 日
カテゴリ
CentOS 7 延長サポートサービス
デジタルトランスフォーメーションのための電子認証基盤 iTrust
SSL/TLS サーバー証明書 SureServer Prime