IoT・組込み Linux 向け SBOM 管理 & 脆弱性通知サービス
Timesys Vigiles
Timesys Vigiles のご紹介(動画)
SBOM による管理の必要性
IoT 機器・組込み機器へのオープンソースソフトウェア(OSS)の浸透
OSS の利活用領域は日々拡大中です。スマートデバイスやエッジと呼ばれる IoT 機器の普及にともない、組込み機器についてもより高度な処理やセキュリティ対策が必要な Linux OS のニーズが増加しています。
産業用途でも OSS 活用が広がるにつれ、開発の効率化による開発費の抑制、開発期間短縮、高い安定性・品質・透明性の確保、豊富な種類による新たな価値創出、ベンダロックインの回避といったメリットがある一方、ライセンス管理、ライフサイクル脆弱性管理、サプライチェーン管理などの新たな課題も出てきています。
増大し続ける IoT・組込み機器へのセキュリティ脅威
サイバー攻撃は、インフラ設備などをはじめさまざまな対象を狙って行われています。独立行政法人情報処理推進機構 (IPA) 発表の「情報セキュリティ 10 大脅威 2023」では、「サプライチェーンの弱点を悪用した攻撃」は組織の 2 位にランクインし、IoT・組込み機器のソフトウェアイメージにおける OSS サプライチェーン管理は、今や重要な課題となっています。
しかしながらソフトウェアの脆弱性は年々増加する傾向にあり、かつ不定期に突然発生することから、膨大なソフトウェアコンポーネントのサプライチェーンおよびそれに起因する脆弱性を人力で監視することは現実的ではありません。
増大するセキュリティリスクに対してお客さま自身で脆弱性を監視し対策方法を調査し修正を行うことは時間とコストを費やし、タイムリーな脆弱性対応の障壁となります。
SBOM 管理と脆弱性対策
そうした中、機器のソフトウェアイメージのソフトウェア・サプライチェーンを管理する方法として SBOM(Software Bill Of Materials : ソフトウェア部品管理)が注目されています。
SBOM はソフトウェアを構成するコンポーネントや依存関係、ライセンス情報などをリスト化した構成情報一覧表です。ソフトウェアサプライチェーンにおいてトランスペアレンシー(透明性)とトレーサビリティ(追跡可能性)を確保するための有効な手段として、世界的に普及が進んでいます。
組込み機器における OSS サプライチェーンと脆弱性を一元管理:Timesys Vigiles
Timesys Vigiles は、SBOM をベースにしたお客様のソフトウェアプラットフォームに合わせセキュリティ通知と対策情報通知を行うサービスです。自動化されたセキュリティ脆弱性監視と対策パッチ通知により、お客さまのIoT・組込み機器のソフトウェアセキュリティの維持にかかる時間とコストを大幅に削減します。
Timesys Vigiles の特長
製品に固有の既知のセキュリティ問題(CVE)が発見された場合、お客様に通知します。
脆弱性の修正状況(修正済み、未修正)をお知らせし、修正プログラムへのリンクを提供します。
ソフトウェアのアップデートや対策パッチを選択して適用することができます。
Timesys Vigiles が解決する課題
脆弱性の監視時間の削減
Vigiles は、お客様が CVE の情報を継続的に監視して発見した脆弱性の影響分析を行う負担を大幅に軽減します。
Vigiles を使用すると、ソフトウェアに関連する脆弱性通知をオンデマンドで受け取ることができます。 また、Vigiles は複数の脆弱性フィードからの Timesys が精査したデータを使用しているため、誤検知や CVE の見逃しが少ない監視プロセスと新しい脆弱性の迅速な通知を実現しています。
セキュリティフィックスの制御
脆弱性が修正されたカーネルバージョン情報と対応する対策パッチへのリンクを受け取ることができます。対策パッチを選択して適用することができるので、何を更新するかを決めることができます。
安全性の維持
お客さまのソフトウェアが悪用される可能性を最小限に抑えます。お客様が脆弱性の特定、評価、対策パッチ/ アップデートを選択して適用することができるので、CVE の脆弱性に迅速かつ効率的に対応することが可能です。
Timesys Vigiles 操作画面例
ソフトウェア BOM (SBOM) の生成と統合
Vigiles は、Yocto、Buildroot、PetaLinux、Wind River Linux、PTXdist、OpenWrt、Timesys Factoryを含むすべての Linux ビルドシステム統合をサポートし、正確な SBOM 生成を実現します。厳選された脆弱性データベースに対する SBOM の自動スキャンにより、CVE レポートが即時に作成されます。
コラボレーション機能
使いやすいコラボレーションツールを使用して、脆弱性の管理と軽減を合理化します。CVE にメモを追加したり、ホワイトリストに登録したりできるようにします。Vigiles を Jira に接続することもできます。
ワンクリックで修復オプションを参照
スキャンされた SBOM で見つかったすべての CVE について、Vigiles は修正があるかどうかを通知し、脆弱性を修正するために必要なパッチ、最小バージョン、および/または構成オプション情報を提供します。
オープンソースの組込みソフトウェアの専門知識を駆使し、お客様のセキュリティ維持に貢献します。
Timesys Vigiles の脆弱性監視および対策パッチ通知サービスをご利用いただくと、最もコスト効率が高い方法で、お客様の組込み Linux ベースの製品の安全性を確保することができます。私たちは、何百ものボード、何千ものプロジェクト、そして Yocto Project、Timesys Factory、Buildroot、PetaLinux 等の多数のビルドシステムと連携してきており、これらの経験は、組込み Linux のセキュリティを向上させるための脆弱性の監視、分析、対応のプロセス全体の合理化を実現してきています。
Timesys Vigiles ラインアップ
Vigiles は、Prime と Enterprise という2つのバージョンで提供されます。共に高度で時間を節約するトリアージおよび修復機能を含む年間サブスクリプションプランです。
Vigiles Prime
Vigiles Enterprise
詳細な機能比較表
| 機能 | Vigiles Prime | Vigiles Enterprise |
|---|
| SBOM 作成 / 管理 | ||
|---|---|---|
| 複数のソフトウェア BOM(SBOM)/マニフェストの追跡 | ||
| SBOM のアップロード/取り込み、Web-wizard を使用したSBOM 生成 | ||
| ビルドシステムのサポート:Yocto、Buildroot、PetaLinux、Wind River Linux、PTXdist、OpenWrt、Timesys Factory | ||
| SBOM を SPDX、CycloneDX、SPDX-Lite 形式でエクスポート | ||
| SBOM / マニフェストの編集およびリビジョン管理 | ||
| SBOM をさまざまな形式に変換してダウンロード | ||
| ビルド/リリース間の変更点の比較(SBOM/マニフェスト差分) |
| 規格とコンプライアンス | ||
|---|---|---|
| ソフトウェアライセンス情報 (Yocto と Buildroot のみ) | ||
| NTIA コンプライアンス規格および大統領令 EO14028 と IMDRF N60 への適合 |
| 脆弱性の検出と分析 | ||
|---|---|---|
| 重大度、ステータス、およびソフトウェアパッケージ毎の脆弱性サマリー | ||
| 早期の脆弱性を通知 | ||
| Timesys で正確に厳選した脆弱性データベースの参照 | ||
| 脆弱性レポートの比較 | ||
| 脆弱性のプッシュ通知 | ||
| Web を介したオンデマンド脆弱性レポートの生成 | ||
| コマンドラインによるオンデマンド脆弱性レポートの生成 | ||
| さまざまなファイル形式(CSV、XLSX、PDF など)での脆弱性レポートをダウンロード |
| 脆弱性のトリアージと優先順位付け | ||
|---|---|---|
| Kernel/U-boot コンフィグレーションによるフィルタリング | ||
| ソフトウェアコンポーネントまたはステータスによるフィルタリング | ||
| 重大度(CVSS)スコアまたは Attack Vector によるフィルタリング | ||
| カスタム脆弱性スコアでの優先順位付けとフィルタリング |
| チームコラボレーションとワークフロー | ||
|---|---|---|
| SBOM コラボレーション | ||
| 無料の Vigiles クイックスタートプログラムの提供 | ||
| 許可していないライセンスタイプおよび 設定した CVSS スコアのしきい値を超えた CVE に対するアラート | ||
| Timesys が管理をする脆弱性データベース用の脆弱性検索ツール | ||
| 脆弱性レポートの履歴と脆弱性トレンドをプロット | ||
| 脆弱性レポートの共有 | ||
| 脆弱性対応のためのチーム共有/コラボレーションツール | ||
| 特定の問題と脆弱性の状態の変化を継続的に追跡 | ||
| Jira、Nucleus Security、その他のツールとの統合管理による、効率的な脆弱性問題の追跡と管理 | ||
| アプリケーション プログラミング インターフェイス(API)ツールキットの提供 | ||
| シングル・サインオン | ||
| 組織/グループ機能 | ||
| 権限によるアクセス制御 |
| 脆弱性の緩和と修正 | ||
|---|---|---|
| ホワイトリスト機能による効率的なレビュー | ||
| 利用可能な対策パッチ、緩和策、攻撃プログラムへの参照リンク | ||
| Linux カーネル脆弱性のメインラインカーネル修正コミットへのリンク | ||
| カーネルの脆弱性の修正を含む最小カーネルバージョン | ||
| OSS の脆弱性改善のための提案された修正情報の参照 |
