採用情報

お問い合わせ

Timesys Vigiles - IoT・組込み Linux 向けSBOM 管理&脆弱性通知・対策サービス

IoT・組込み Linux 向け SBOM 管理 & 脆弱性通知サービス
Timesys Vigiles

Timesys Vigiles のご紹介(動画)

SBOM による管理の必要性

IoT 機器・組込み機器へのオープンソースソフトウェア(OSS)の浸透

OSS の利活用領域は日々拡大中です。スマートデバイスやエッジと呼ばれる IoT 機器の普及にともない、組込み機器についてもより高度な処理やセキュリティ対策が必要な Linux OS のニーズが増加しています。

産業用途でも OSS 活用が広がるにつれ、開発の効率化による開発費の抑制、開発期間短縮、高い安定性・品質・透明性の確保、豊富な種類による新たな価値創出、ベンダロックインの回避といったメリットがある一方、ライセンス管理、ライフサイクル脆弱性管理、サプライチェーン管理などの新たな課題も出てきています。

増大し続ける IoT・組込み機器へのセキュリティ脅威

サイバー攻撃は、インフラ設備などをはじめさまざまな対象を狙って行われています。独立行政法人情報処理推進機構 (IPA) 発表の「情報セキュリティ 10 大脅威 2023」では、「サプライチェーンの弱点を悪用した攻撃」は組織の 2 位にランクインし、IoT・組込み機器のソフトウェアイメージにおける OSS サプライチェーン管理は、今や重要な課題となっています。

しかしながらソフトウェアの脆弱性は年々増加する傾向にあり、かつ不定期に突然発生することから、膨大なソフトウェアコンポーネントのサプライチェーンおよびそれに起因する脆弱性を人力で監視することは現実的ではありません。
増大するセキュリティリスクに対してお客さま自身で脆弱性を監視し対策方法を調査し修正を行うことは時間とコストを費やし、タイムリーな脆弱性対応の障壁となります。

SBOM 管理と脆弱性対策

そうした中、機器のソフトウェアイメージのソフトウェア・サプライチェーンを管理する方法として SBOM(Software Bill Of Materials : ソフトウェア部品管理)が注目されています。

SBOM はソフトウェアを構成するコンポーネントや依存関係、ライセンス情報などをリスト化した構成情報一覧表です。ソフトウェアサプライチェーンにおいてトランスペアレンシー(透明性)とトレーサビリティ(追跡可能性)を確保するための有効な手段として、世界的に普及が進んでいます。

ゼロから学ぶ SBOM 読本
~ SBOM の推進背景、現在の課題がわかる!! ~

「SBOMの推進背景、現在の課題がわかる!! ゼロから学ぶ SBOM 読本」(全 12 ページ)をダウンロードしていただけます。

目次

  1. はじめに
  2. 活発化する日本国内における偵察行動
  3. 攻撃主体者について
  4. なぜインフラ設備が狙われるのか
  5. ソフトウェアサプライチェーン管理の課題
  6. SBOM の生成方法と情報制度
  7. SBOM 生成方法による脆弱性検出精度の比較
  8. ビルドシステムベースで SBOM を生成・管理する「Timesys Vigiles」

SBOMの推進背景、現在の課題がわかる!!ゼロから学ぶSBOM読本イメージ

組込み機器における OSS サプライチェーンと脆弱性を一元管理:Timesys Vigiles

Timesys Vigiles は、SBOM をベースにしたお客様のソフトウェアプラットフォームに合わせセキュリティ通知と対策情報通知を行うサービスです。自動化されたセキュリティ脆弱性監視と対策パッチ通知により、お客さまのIoT・組込み機器のソフトウェアセキュリティの維持にかかる時間とコストを大幅に削減します。

Timesys Vigiles の特長

製品に固有の既知のセキュリティ問題(CVE)が発見された場合、お客様に通知します。
脆弱性の修正状況(修正済み、未修正)をお知らせし、修正プログラムへのリンクを提供します。
ソフトウェアのアップデートや対策パッチを選択して適用することができます。

Timesys Vigiles が解決する課題

脆弱性の監視時間の削減

Vigiles は、お客様が CVE の情報を継続的に監視して発見した脆弱性の影響分析を行う負担を大幅に軽減します。
Vigiles を使用すると、ソフトウェアに関連する脆弱性通知をオンデマンドで受け取ることができます。 また、Vigiles は複数の脆弱性フィードからの Timesys が精査したデータを使用しているため、誤検知や CVE の見逃しが少ない監視プロセスと新しい脆弱性の迅速な通知を実現しています。

セキュリティフィックスの制御

脆弱性が修正されたカーネルバージョン情報と対応する対策パッチへのリンクを受け取ることができます。対策パッチを選択して適用することができるので、何を更新するかを決めることができます。

安全性の維持

お客さまのソフトウェアが悪用される可能性を最小限に抑えます。お客様が脆弱性の特定、評価、対策パッチ/ アップデートを選択して適用することができるので、CVE の脆弱性に迅速かつ効率的に対応することが可能です。

Vigiles 30 日間無償トライアル

Vigiles Prime を 30 日間無償でご利用いただけます。フォームより必要事項をご記入ください。

申し込みフォームに記載の「サービス利用規約および個人情報取り扱いへの同意」をご一読ください。

Timesys Vigiles 操作画面例

ソフトウェア BOM (SBOM) の生成と統合

Vigiles は、Yocto、Buildroot、PetaLinux、Wind River Linux、PTXdist、OpenWrt、Timesys Factoryを含むすべての Linux ビルドシステム統合をサポートし、正確な SBOM 生成を実現します。厳選された脆弱性データベースに対する SBOM の自動スキャンにより、CVE レポートが即時に作成されます。


コラボレーション機能

使いやすいコラボレーションツールを使用して、脆弱性の管理と軽減を合理化します。CVE にメモを追加したり、ホワイトリストに登録したりできるようにします。Vigiles を Jira に接続することもできます。


ワンクリックで修復オプションを参照

スキャンされた SBOM で見つかったすべての CVE について、Vigiles は修正があるかどうかを通知し、脆弱性を修正するために必要なパッチ、最小バージョン、および/または構成オプション情報を提供します。

オープンソースの組込みソフトウェアの専門知識を駆使し、お客様のセキュリティ維持に貢献します。

Timesys Vigiles の脆弱性監視および対策パッチ通知サービスをご利用いただくと、最もコスト効率が高い方法で、お客様の組込み Linux ベースの製品の安全性を確保することができます。私たちは、何百ものボード、何千ものプロジェクト、そして Yocto Project、Timesys Factory、Buildroot、PetaLinux 等の多数のビルドシステムと連携してきており、これらの経験は、組込み Linux のセキュリティを向上させるための脆弱性の監視、分析、対応のプロセス全体の合理化を実現してきています。

Timesys Vigiles ラインアップ

Vigiles は、Prime と Enterprise という2つのバージョンで提供されます。共に高度で時間を節約するトリアージおよび修復機能を含む年間サブスクリプションプランです。

Vigiles Prime

SBOM の脆弱性監視、脆弱性トリアージと軽減のためのコラボレーション ツール、高度なフィルタリング、詳細な通知、高度なレポート ツール、パッチ通知および管理機能、関連する Linux カーネル パッチへのリンク、OSS 修正バージョン通知など豊富な機能をご利用いただけます。

Vigiles Enterprise

Prime バージョンのすべての機能に加え、シングル サインオン互換性、強力なグループ管理機能、ロールベースのアクセス制御、Timesys がプライベートでホストする専用インスタンスを備えています。

詳細な機能比較表

機能Vigiles PrimeVigiles Enterprise
SBOM 作成 / 管理
複数のソフトウェア BOM(SBOM)/マニフェストの追跡
SBOM のアップロード/取り込み、Web-wizard を使用したSBOM 生成
ビルドシステムのサポート:Yocto、Buildroot、PetaLinux、Wind River Linux、PTXdist、OpenWrt、Timesys Factory
SBOM を SPDX、CycloneDX、SPDX-Lite 形式でエクスポート
SBOM / マニフェストの編集およびリビジョン管理
SBOM をさまざまな形式に変換してダウンロード
ビルド/リリース間の変更点の比較(SBOM/マニフェスト差分)
規格とコンプライアンス
ソフトウェアライセンス情報 (Yocto と Buildroot のみ)
NTIA コンプライアンス規格および大統領令 EO14028 と IMDRF N60 への適合
脆弱性の検出と分析
重大度、ステータス、およびソフトウェアパッケージ毎の脆弱性サマリー
早期の脆弱性を通知
Timesys で正確に厳選した脆弱性データベースの参照
脆弱性レポートの比較
脆弱性のプッシュ通知
Web を介したオンデマンド脆弱性レポートの生成
コマンドラインによるオンデマンド脆弱性レポートの生成
さまざまなファイル形式(CSV、XLSX、PDF など)での脆弱性レポートをダウンロード
脆弱性のトリアージと優先順位付け
Kernel/U-boot コンフィグレーションによるフィルタリング
ソフトウェアコンポーネントまたはステータスによるフィルタリング
重大度(CVSS)スコアまたは Attack Vector によるフィルタリング
カスタム脆弱性スコアでの優先順位付けとフィルタリング
チームコラボレーションとワークフロー
SBOM コラボレーション
無料の Vigiles クイックスタートプログラムの提供
許可していないライセンスタイプおよび 設定した CVSS スコアのしきい値を超えた CVE に対するアラート
Timesys が管理をする脆弱性データベース用の脆弱性検索ツール
脆弱性レポートの履歴と脆弱性トレンドをプロット
脆弱性レポートの共有
脆弱性対応のためのチーム共有/コラボレーションツール
特定の問題と脆弱性の状態の変化を継続的に追跡
Jira、Nucleus Security、その他のツールとの統合管理による、効率的な脆弱性問題の追跡と管理
アプリケーション プログラミング インターフェイス(API)ツールキットの提供
シングル・サインオン
組織/グループ機能
権限によるアクセス制御
脆弱性の緩和と修正
ホワイトリスト機能による効率的なレビュー
利用可能な対策パッチ、緩和策、攻撃プログラムへの参照リンク
Linux カーネル脆弱性のメインラインカーネル修正コミットへのリンク
カーネルの脆弱性の修正を含む最小カーネルバージョン
OSS の脆弱性改善のための提案された修正情報の参照

サイバートラストの IoT・組込み製品・サービスについてのご相談やご質問は、以下のフォームよりお気軽にお問い合わせください。
※ お問い合わせフォームからの営業・売り込み・広告・協賛のお申込はご遠慮ください。

お問い合わせフォーム

お問合せ内容 必須
※なるべく詳しくご記入ください。
お名前 必須
メールアドレス 必須
※入力間違いにご注意ください。
電話番号 必須
法人名 必須
※会社名・学校・団体名。個人の場合は個人とご記入ください。
部門名
詳しくはサイバートラストのプライバシーポリシーをご覧ください。

CentOS 7 延長サポートサービス
デジタルトランスフォーメーションのための電子認証基盤 iTrust
SSL/TLS サーバー証明書 SureServer Prime